AZ EURÓPAI UNIÓ KERETÉBEN MEGVALÓSULÓ ADATKEZELÉSEK A RENDŐRSÉGI EGYÜTTMŰKÖDÉS TERÜLETÉN
Készítette: dr. Nagy Klára megbízott előadó Konzulens: Dr. M. Nyitrai Péter egyetemi docens
Tartalomjegyzék
1. BEVEZETŐ GONDOLATOK ......................................................................................................... 4 2. AZ ADATKEZELÉSI SZABÁLYOK ÁLTAL ÉRINTETT ALAPVETŐ JOGOK ÉS AZOK VÉDELME ............................................................................................................................................. 8 2.1. A jogbiztonság követelménye .................................................................................................................... 8 2.2. A személyes adatok védelméhez való jog jogi háttere ............................................................................... 8 2.2.1. Nemzetközi jogvédelem ........................................................................................................................... 8 2.2.2. Regionális jogvédelem ............................................................................................................................ 11 2.2.2.1. Emberi Jogok Európai Egyezménye ................................................................................................. 11 2.2.2.2. Az Európa Tanács 108. számú egyezménye .................................................................................... 16 2.2.2.3. Az Európai Unió általi jogvédelemről .............................................................................................. 17 2.2.2.3.1. A közösségi jogi adatvédelem .................................................................................................. 18 2.2.2.3.2. A rendőrségi és bűnügyi együttműködés keretében megvalósuló adatvédelem jogforrása ... 25 2.2.2.3.3. A közös kül- és biztonságpolitika területén megvalósuló adatvédelem .................................. 28 2.2.2.3.4. A legújabb kori változások az adatvédelem területén – a Lisszaboni Szerződés ..................... 36 Intézményi változások ......................................................................................................................... 36 Alapjogi változások .............................................................................................................................. 37 2.2.2.3.5. Az Európai Unió Bíróságának gyakorlata ................................................................................. 43 2.2.2.3.6. Részmegállapítások .................................................................................................................. 43 2.2.4. Az angolszász szabályozás....................................................................................................................... 45 2.2.5. És ami az előzőekből kimaradt… ............................................................................................................. 50 2.3. Az emberi méltóság és az információs önrendelkezési jog....................................................................... 52
3. NEMZETKÖZI RENDŐRSÉGI EGYÜTTMŰKÖDÉS AZ EURÓPAI UNIÓBAN – ADATVÉDELMI SZEMPONTÚ ELEMZÉS .................................................................................. 53 3.1. Az együttműködési formák elhatárolási szempontjai .............................................................................. 53 3.1.1. A kooperáció célja................................................................................................................................... 53 3.1.2. A hatáskörrel rendelkező hatóságok szerinti elhatárolás ....................................................................... 54 3.1.3. Az együttműködés modelljei .................................................................................................................. 55 3.2. Együttműködés az uniós joganyagban a biztonság érdekében ................................................................ 57 3.3. A harmadik pillér keretében megvalósuló rendőrségi együttműködés .................................................... 65 3.3.1. Az uniós szervek adatkezelése ................................................................................................................ 65 3.3.1.1. Europol általi adatkezelés ............................................................................................................... 65 3.3.1.2. Eurojust általi adatkezelés ............................................................................................................... 65 3.3.1.3. Végkövetkeztetések ........................................................................................................................ 66 3.3.2. Harmadik féllel megvalósuló együttműködés ........................................................................................ 66 3.3.2.1. Az Unió által kötött megállapodások .............................................................................................. 66 3.3.2.2. Uniós szerv által kötött megállapodások ........................................................................................ 66 3.3.3. Az uniós tagállamok adatkezelése .......................................................................................................... 67 3.3.3.1. Az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS)................................................... 67 3.3.3.2. SIS .................................................................................................................................................... 71
4. KONKLÚZIÓ ................................................................................................................................. 71 2
FELHASZNÁLT IRODALOM.......................................................................................................... 74 INTERNETES FORRÁSOK ............................................................................................................. 76 JOGFORRÁSOK ................................................................................................................................ 76
3
„’Do you have something to hide?’ ’I have nothing of which I’m ashamed if that’s what you mean.’ ’I’m fascinated then. If you had nothing to be ashamed of, why on Earth would you desire privacy?’ ’[He] thought for a moment.’ ’Because I consider it fundamental to my sense of self.’ ’Or perhaps it’s because you’re pervert and heretic.’” /B. Elton/
1. Bevezető gondolatok Napjainkban az adatvédelmet számos kihívás éri. A személyes adatok védelméhez való jog több szempontból is veszélybe kerül. A személyes adatok védelméhez való jog az egyének részéről felmerülő igény, amely szorosan hozzátartozik az emberi mivoltukhoz, hogy hétköznapjaikat önmaguk vagy azok között élhessék meg, akiket ők szívesen „választanak.” Ugyanakkor az is elvárás nemcsak az egyén, hanem a közösség részéről is, hogy az állam garantálja a biztonságukat, hiszen az is örökérvényű állítás, hogy biztonság nélkül a szabadságainkat sem tudjuk megélni. A biztonság garantálása azonban a jogok és szabadságok
korlátozásával
jár.
Látszólag
ezen
két
alapvető
jog kibékíthetetlen
ellentmondásban van egymással. Ezen igények feloldása mellett a technológiai kihívásoknak is meg kell felelnie a jogi aktusoknak, a jogszabályi követelményeknek. Az informatika és a technika fejlődésével a privátszférába való beavatkozás mind nagyobb mérvű, és egyre könnyebben hozzáférhető az alkalmazott módszerekkel. Ezek a technikai újdonságok újfajta veszélyeket jelentenek, amelyek újfajta válaszokat igényelnek. Ezek a veszélyek már régen túlléptek az internet által előidézett fenyegetettségeken, mint például azon, hogy az internetre egyszer már feltöltött személyes adatok gyakorlatilag eltüntethetetlenek. A globalizációval ez a fajta „félelem” nem marad az országhatárok között, ebből kifolyólag a megoldás sem kereshető kizárólag a belső jogalkotásban. Az idővel nemcsak a technológia fejlődik, hanem az emberek hozzáállása is a személyes adataik védelméhez, és változnak az igényeik is az adatvédelem és a biztonság viszonyban is. De mit jelent a biztonság? A biztonság fogalma nem határozható meg egyértelműen, és annak sok oldala van: témánk szempontjából a fizikai biztonsággal 4
foglalkozunk csak, de van annak pénzügyi , ökológiai stb. aspektusai is. A biztonság mindig relatív, időben és térben eltérő. Ennélfogva nem lehet területileg egyforma biztonsági szintet szabályokkal „előteremteni.” Az is tény, hogy száz százalékos biztonság nincsen, valamennyi bizonytalansági tényezőt nem lehet felszámolni, nem lehet mindenre felkészülni. Megfigyelhető továbbá, hogy az emberek bizonyos területen hajlamosak személyes adataikat kiadni, míg más területen szigorúan ragaszkodnak privátszférájuk megőrzéséhez. Az adatkezelés területe nagyon szerteágazó, az élet bármely területére lépünk, személyes adatok kezelésével találkozunk. A fentiek tükrében véleményem szerint érdemes lenne újragondolni azt, hogy lehetséges-e egy egységes adatvédelmi garancialistát rögzíteni, vagy a nagyon különböző területek és eltérő igények miatt célszerűbb lenne ezekre nézve külön-külön egy átfogó szabályozást készíteni. Hiszen az állam az egyes adatkezelések tekintetében is különböző szerepeket vállal. Gazdasági területen döntően annyit tesz, hogy a gazdálkodó szervezetek számára meghatározza azokat a „játékszabályokat”, amelyeket azok kötelesek betartani, egyébként pedig a szabályok betartását ellenőrzi. Míg a bűnügyi adatok kezelését nem engedi át gazdasági szereplőnek. Nemcsak az adatkezelő személye alapján tehető különbség az egyes adatkezelések tekintetében, hanem az adatbiztonsági előírások tekintetében is: bizonyos technológiák és az adatkezelési infrastruktúra biztosítása például az állam feladata.1 A Lisszaboni Szerződés hatályba lépésével jó néhány előremutató lépés történt az uniós alapjogvédelemben, amely az Európai Unió számos területére kihat, így a bűnmegelőzés és bűnüldözés terén megvalósuló együttműködésre is. Jóllehet az Európai Unióról szóló szerződés (a továbbiakban: EUSz.) és az Európai Unió működéséről szóló szerződés (a továbbiakban: EUMSz.) sok esetben csak deklaratív megállapításokat, célkitűzéseket tartalmaz, de ezek a normák egyértelműen kijelölik az uniós jogalkotás kereteit és a jövőbeli változások irányvonalát. Vitathatatlan annak jelentősége, hogy a Lisszaboni Szerződés hatályba lépésével az EUSz. az Unió létrehozatalának megállapítását követően a 2. cikkében rögzíti, hogy „az Unió az emberi méltóság tiszteletben tartása, a szabadság, a demokrácia, az egyenlőség, a jogállamiság, valamint az emberi jogok – ideértve a kisebbségekhez tartozó személyek jogait – tiszteletben tartásának értékein alapul. Ezek az értékek közösek a tagállamokban.” [EUSz. 1-2. cikk] 2009. december 1-jét megelőzően az Unió alapvető értékeinek deklarálására csak a COMANS, Clemens David: Ein „modernes” europäisches Datenschutzrecht, Peter Lang, Köln, 2011, 37., 3941. o. 1
5
6. cikkben került sor. Ezen cikkben meghatározott értékek egyértelmű veszélyeztetése, illetve megsértése esetén a Tanács ajánlást fogalmazhat meg, illetve a tagállam egyes jogainak gyakorlását felfüggesztheti. [EUSz. 7. cikk (1)-(3) bek.]2 Lényeges lépés, hogy amellett, hogy az Unió kötelező jogi erővel ruházza fel az Alapjogi Chartát, csatlakozik az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményhez is. [EUSz. 6. cikk (1)-(2) bek., 8. jegyzőkönyv az Európai Unióról szóló szerződés 6. cikk (2) bekezdésével összefüggésben az uniónak az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményhez való csatlakozásáról] A Lisszaboni Szerződés hatályba lépését megelőzően „csak” tiszteletben tartotta az EU az emberi jogok és alapvető szabadságok védelméről szóló egyezményben foglalt alapelveket – anélkül, hogy csatlakozott volna hozzá. Az egyezmény mellett az EU általános elveit a közösségi jogból, illetve a tagállamok közös alkotmányos hagyományaiból vezette le. [korábbi EUSz. 6. cikk (2) bek.] Vitathatatlan, hogy az alapjogok érvényesülésének kiemelt szerepe van az európai (regionális) és a nemzetközi kapcsolatokban is. Az alapjogok biztosítása a demokratikus működés előfeltétele. Ugyanakkor az is tendencia, hogy a kivívott alapvető jogok számos oldalról veszélybe kerülnek. Az egyénről beszerezhető információ mennyisége és minősége a technika fejlődésével növekszik, amely azonban a hatékonyabb bűnmegelőzést és bűnüldözést szolgálja, nemcsak országos, hanem regionális és nemzetközi szinten is. Az Unió, az uniós államok és harmadik államok között megvalósuló együttműködés egyre szélesebb kereteket ölt. A bűnmegelőzés és a bűnüldözés hatékonyságának növelése, a biztonság garantálása további jogkorlátozásokat tenne szükségessé, ugyanakkor nem lehet eltekinteni a kivívott, univerzális demokratikus jogállami alapértékektől, amelyeket a mindenkori jogalkotónak tiszteletben kell tartania. A biztonság előmozdítása érdekében tett intézkedések elsősorban és
EUSz. „7. cikk (1) A Tanács, a tagállamok egyharmada, az Európai Parlament vagy az Európai Bizottság indokolással ellátott javaslata alapján, tagjainak négyötödös többségével és az Európai Parlament egyetértésének elnyerését követően megállapíthatja, hogy fennáll az egyértelmű veszélye annak, hogy egy tagállam súlyosan megsérti a 2. cikkben említett értékeket. Mielőtt ilyen megállapítást tenne, a Tanács meghallgatja a kérdéses tagállamot, és ugyanezen eljárásnak megfelelően ajánlásokat tehet neki. A Tanács rendszeresen ellenőrzi, hogy azok az okok, amelyek alapján ilyen megállapítást tett, továbbra is fennállnak-e. (2) A tagállamok egyharmada vagy az Európai Bizottság javaslata alapján és az Európai Parlament egyetértésének elnyerését követően, az Európai Tanács, miután a kérdéses tagállamot felkérte észrevételei benyújtására, egyhangúlag megállapíthatja, hogy a tagállam súlyosan és tartósan megsérti a 2 cikkben említett értékeket. (3) A Tanács, amennyiben a (2) bekezdés szerinti megállapításra jutott, minősített többséggel úgy határozhat, hogy a kérdéses tagállamnak a Szerződések alkalmazásából származó egyes jogait felfüggeszti, beleértve az e tagállam kormányának képviselőjét a Tanácsban megillető szavazati jogokat. Ebben az esetben a Tanács figyelembe veszi az ilyen felfüggesztésnek a természetes és jogi személyek jogait és kötelezettségeit érintő lehetséges következményeit.” 2
6
közvetlenül a személyes adatok védelméhez való jogot (magánélethez fűződő jogot) érintik, áttételesen pedig az emberi méltósághoz való jogot.3 A Lisszaboni Szerződés nemcsak az alapjogvédelem területén, hanem a büntető ügyekben történő rendőrségi és igazságügyi együttműködés terén (a korábbi harmadik pillérben)4 is jelentős változásokat idézett elő, amelyeknek egyik alapköve a pillérrendszer megszűnése. Ez ugyanakkor nem járt együtt azzal, hogy a korábbi első pillérben elfogadott személyes adatok védelméről szóló 95/46/EK irányelv automatikusan alkalmazásra kerüljön a korábbi második és harmadik pillérbe tartozó ügyekben is.5 Ez az irányelv a legátfogóbban szabályozza regionális szinten az adatvédelemmel kapcsolatos alapelveket. Az irányelv 3. cikk (2) bekezdése azonban egyértelműen kizárja a közösségi jog (első pillér) hatályán kívüli
alkalmazását,
így
különösen
„(…)
a
közbiztonsággal,
a
védelemmel,
a
nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági
ügyre
vonatkozik),
továbbá
a
büntetőjog
területén
az
állami
tevékenységekkel kapcsolatos feldolgozási műveleteket.” 6 Meg kívánom vizsgálni, hogy a korábbi harmadik pillér keretébe tartozó ügyek tekintetében a személyes adatok védelméhez való jog garanciái mennyiben valósulnak meg. Mindezt úgy, hogy sorra kívánom venni a legfontosabb adatvédelmi szabályokat, valamint a rendőrségi együttműködés alapvető szabályait. Ebben a körben a tanulmány az unión belül megvalósuló adatkezelésekről és az Unió keretében született, adatkezelésre vonatkozó megállapodásokról lesz szó.
MICHAEL, Peter, az EU Tanács Adatvédelmi Titkársága képviselőjének előadása In: Laukó Károly: Bűnüldözés, adatvédelem, Schengen, BM Kiadó, Budapest, 2004, 36-37. o. 4 Jóllehet a Lisszaboni Szerződés eltörölte a pillérrendszert, ugyanakkor számos olyan elem maradt, amely a pillérek közötti különbségtételt nem számolja fel. Amikor harmadik pillért említek a továbbiakban, mindig a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködést értem alatta, míg a második pillér alatt a közös kül- és biztonságpolitikát. 5 HIELKE, Hijmans – ALFONSO, Scirocco: Shortcomings in EU data protection in the third and the second pillars. Can the Lisbon Treaty be expected to help? In: Common Market Law Review, v. 46, n. 5, October, 2009, 1514. o. 6 Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról 3. § (2) bek. Ugyanez az a szabályozás fedezhető fel a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló 45/2001/EK rendelet 3. cikk (1) bekezdésében. 3
7
2. Az adatkezelési szabályok által érintett alapvető jogok és azok védelme 2.1. A jogbiztonság követelménye Mielőtt a személyes adatok védelméhez fűződő jog tartalmáról értekeznék, a téma szempontjából megkerülhetetlen a jogbiztonság követelményére való rövid kitérés. A jogkorlátozó előírásoknak mindig pontosan meghatározottaknak [Sunday Times v. the United Kingdom (1979) para 49., Österreichischer Rundfunk v. Austria (2006) Para. 60.], megismerhetőeknek és előreláthatóaknak kell lenniük. [Sunday Times v. the United Kingdom (1979) Para. 49.]7 Az önkényes jogalkalmazás lehetőségét olyan esetben feltétlenül ki kell zárni, amikor alapvető jogok korlátozásáról van szó. Ehhez pedig az kell, hogy a jogkövetők számára a norma kiszámítható, előrelátható, világos és egyértelmű legyen. [11/1992. (III. 5.) AB határozat] Ha a jogkorlátozással érintett személy nem látja előre azt, hogy a jogkorlátozással ki élhet, milyen hosszú ideig, milyen mértékben stb. akkor azzal szemben jogorvoslattal sem tud élni, nem látja előre azt, hogy milyen döntésre számíthat, hiszen az igazságszolgáltató hatalom is csak a bizonytalan jogfogalmat használó jogszabályból dolgozik.
2.2. A személyes adatok védelméhez való jog jogi háttere A téma feldolgozása szempontjából elengedhetetlen a személyes adatok védelméhez való jog vagy adatvédelem fogalmának a tisztázása. Mindegyik meghatározás megtévesztő abból a szempontból, hogy ezen alapjog keretében nem a személyes adatokat kell védeni, hanem a személyes adatokhoz kötődő egyének szorulnak védelemre. A személyes adatok védelméhez fűződő jog nemzetközi regionális és belső jogi szabályainak áttekintése történik meg ebben a fejezetben.8
2.2.1. Nemzetközi jogvédelem Az 1948. évi Emberi Jogok Egyetemes Nyilatkozata 12. cikke szerint „senkinek magánéletébe, családi ügyeibe, lakóhelye megválasztásába vagy levelezésébe nem szabad önkényesen beavatkozni, sem pedig becsületében vagy jó hírnevében megsérteni. Minden
7
SIEMEN, Birte: The EU_US Agreement on Passenger Name Records and EC-Law: Data Protection, Competences and Human Rights Issues in International Agreements of the Community, In: German Yearbook of International Law, Vol. 47. Dunckler & Humblot, Berlin, 2004, 660. o. 8 COMANS: i. m., 29. o.
8
személynek joga van az ilyen beavatkozásokkal vagy sértésekkel szemben a törvény védelméhez.” Ennek szövegezése szinte szó szerint megegyezik az 1966. évi Polgári és Politikai Jogok Nemzetközi Egyezségokmányának 17. cikkével: „Senkit sem lehet alávetni a magánéletével, családjával, lakásával vagy levelezésével kapcsolatban önkényes vagy törvénytelen beavatkozásnak, sem pedig a becsülete és jó hírneve elleni jogtalan támadásnak. Ilyen beavatkozás vagy támadás ellen mindenkinek joga van a törvény védelmére.” Mindegyik nemzetközi egyezmény rögzítette tehát a magánszférához fűződő jogot, de ezen jog adatvédelmi szempontú értelmezésére az 1990. évig kellet várni, amikor is az Egyesült Nemzetek Szervezete elfogadta az automatizált személyes adat kezeléséről szóló irányelveket. Ezen 10 irányelv keretében az Egyesült Nemzetek államai értelmezik az adatvédelem magánszférában elfoglalt helyét, és sürgetik az automatizált adatkezelés egységesítését.9 A gazdasági és társadalmi élet területén bekövetkező változásokra tekintettel a Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) Tanácsa akként döntött, hogy kiadja ajánlásait a magánélet védelme és a személyes adatok államok között továbbítása tárgyában. Ezt az ajánlását az OECD 1980. évi ajánlásaként illetik, amely a magánélet védelméről és a személyes adatok határokon átívelő áramlásáról címet viseli. Az ajánlás preambulumában olvashatjuk, hogy az elfogadásának célja az volt, hogy a tagállamok közötti adatáramlást megkönnyítse, mert az egyes nemzeti szabályok ennek leginkább akadályát képezték. Azaz az adatvédelmi szabályokat gazdasági szempontból közelítette meg. Mindezt ugyanakkor úgy tette, hogy a legfontosabb adatvédelmi garanciákat rögzítette, és felszólította a tagállamokat, hogy ennek rendelkezéseit implementálják a belső jogukba. Az ajánlásban meghatározott elvek kiterjednek az államok között viszonyokra és a nemzeti kereteken belül maradó adatkezelésekre is. Rögzíti a személyes adat fogalmát is. Eszerint személyesnek tekintendő „ minden olyan információ, amely egy azonosított vagy azonosítható személyre (adatalanyra) vonatkozik.” Ezzel ki is jelöli az ajánlás tárgyi hatályát. Valamennyi személyes adatkezelésre irányadók az irányelv szabályai: a magánszektor és a közszféra által kezelt adatokra, valamint a gépi és nem gépi adatkezelésre nézve egyaránt.
9
GENZ, Alexander: Datenschutz in Europe und den USA. Eine rechtsvergleichende Untersuchung unter besonderer Berücksichtigung der Safe-Harbour-Lösung, Deutscher Universitäts-Verlag, Wiesbaden, 2004, 1112. o.
9
A személyes adatok védelméhez fűződő jog körében a jogkorlátozás a nemzeti szuverenitás, a nemzetbiztonság és a közérdek védelmében lehetséges. A jogkorlátozást azonban a lehető legszűkebb körre kel szorítani és a nyilvánosságot erről tájékoztatni kell.
Az ajánlás a legfontosabb adatvédelmi garanciákat rögzíti. Ennek kapcsán kifejezetten kimondja, hogy további elvek rögzítése is kívánatos lehet. Az ajánlás lefektette a korlátozott adatgyűjtés elvét, az adatminőség elvét, a célhoz kötöttség elvét, a felhasználás korlátozottságának követelményét, az adatbiztonság követelményét, a nyitottság elvét, az egyéni részvétel elvét és a felelősségre vonhatóság alapelvét. A korlátozott adatgyűjtés elve megköveteli, hogy a személyes adatok gyűjtése korlátozott legyen, törvényes és tisztességes eszközzel, valamint lehetőség szerint az adatalany beleegyezésével és tudtával történjen. Az adatminőség elve alapján a személyes adatoknak pontosaknak, teljeseknek és naprakészeknek kell lenniük. A célhoz kötöttség elve azt jelenti, hogy az adatkezelés célját annak kezdetekor meg kell határozni. Ezen célnak az adatkezelésnek minden szakaszban meg kell felelnie, vagy azzal összeegyeztethető egyéb, meghatározott célra irányulhat. A felhasználás korlátozottsága a célhoz kötöttség elvével és az egyéni részvétel elvével is szoros összefüggésben áll. A felhasználás korlátozottsága alapján a személyes adatot felhasználni - meghatározott célra - kizárólag az adatalanya beleegyezésével vagy törvény erejénél fogva lehet. A személyes adatokat ésszerű biztonsági megoldásokkal kell védeni a jogosulatlan hozzáféréstől, megsemmisítéstől, felhasználástól, módosítástól és közzétételtől. A nyitottság elve az érintett személy részéről jelentkező igény: az adatkezelés irányelveit és új gyakorlatait nyilvánosságra kell hozni, fontos továbbá az adatkezelő személyének és fellelhetőségének ismertté tétele. Az egyéni részvétel elve magában foglalja az érintett személy tájékoztatáshoz való jogát, a személyes adatainak kezelésébe betekintés jogát, – amelynek ésszerű időn belül érthető formában ésszerű módon és olyan költségen kell történnie, mely nem túl megterhelő az érintett személy számára –, a betekintés megtagadása esetén az indokolt döntéssel szembeni jogorvoslat jogát, valamint az adatkezeléssel szemben kifogásolás jogát, a kifogás helytállósága esetén az adatot töröltetésének, helyesbíttetésének, kiegészíttetésének és módosíttatásának jogát. Az 1980. évi ajánlás lefekteti továbbá, hogy az adatkezelő felelős azért, ha megsérti az ajánlásban lefektetett elveket. 10
Külön részben kapnak helyet a nemzetközi együttműködésre vonatkozó szabályok. Ennek keretében ösztönzi az olyan eljárások kidolgozását, amelyek megkönnyítik a garanciák megtartása mellett az adatok cseréjét.10
2.2.2. Regionális jogvédelem
2.2.2.1. Emberi Jogok Európai Egyezménye Az 1950. évi Emberi Jogok Európai Egyezménye 8. cikkében a családi élethez való joggal együtt deklarálja a magánélethez fűződő jogot: „1. Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák. 2. E jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság
vagy
az
ország
gazdasági
jóléte
érdekében,
zavargás
vagy
bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.” (1993. évi XXXI. törvény) Az Österreichischer Rundfunk-ügyben az Európai Unió Bírósága az Emberi Jogok Európai Egyezményére hivatkozott, azaz az Unió jogértelmezését nemcsak a saját jogforrásai alakítják, és határozzák meg, hanem nemzetközi és regionális egyezmények is, ezért elengedhetetlen az EJEE rendelkezéseinek áttekintése. Ezt erősíti az is, hogy az EU Bírósága hivatkozott a Strasbourgi Bíróság előtt zajlott Amann v. Switzerland ügyre, melyekben az EJEB kifejtette, hogy a privacy-t nem lehet szűkítően értelmezni. [Amann v. Switzerland (2000) para. 65.] Erre tekintettel az EJEE rendelkezéseire vonatkozó esetjogot részletesebben is fel kell dolgozni. Az Emberi Jogok Európai Bíróságának gyakorlatában a személyes adatok védelméhez való jog a privacy részeként fejlődött ki, amely egy tág fogalom, és kimerítő módon nem is határozható meg. A személyes adatkezelés mindaddig a privacy területére esik, míg az valamilyen módon azzal összefüggésbe hozható. [Leander v. Sweden (1987) Para 48., P. G. and J. H. v. the United Kingdom (2001) Para 56.] A privacy fogalmát az EJEB esetről esetre értelmezi és bővíti, ez alapján néhány fontos tartalmi összetevője megállapítható. Így annak 10
C(80)58/FINAL Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data preamble, 1.b), 3. c), 4., 6-14., 21.
11
megítélésénél, hogy az adatkezelés összefüggésben áll-e a privacy fogalmával, azaz élvezi-e annak védelmét, az adatkezelés tartalma határozza meg. [Niemietz v. Germany (1992) Para. 29., Rotaru v. Romania (2000) Para. 43., Amann v. Switzerland (2000) para. 44.] A privacy fogalma alá a tartozik, és így védendő érték a nemi hovatartozás, a név és a szexuális orientáció. Az Egyezmény védi az identitáshoz és a személyes fejlődéshez való jogot. [P. G. and J. H. v. the United Kingdom (2001) Para. 56.] A magánélet a „magánbirodalmon” kívül is védelmet élvez. A magánélet nem szűkíthető azon körre, melyben az ember saját életét éli anélkül, hogy a külvilággal bármilyen kapcsolatot is létesítene, hanem beletartozik az is, ha más emberrel kapcsolatot létesít, így például a munkakapcsolat nem zárja ki eleve a magánélethez fűződő jog érvényre juttatását. [Niemietz v. Germany (1992) Para. 29., Rotaru v. Romania (2000) Para. 43., Amann v. Switzerland (2000) para. 44., Kopp v. Switzerland (1998) Para. 50.] A P. G. and J. H. v. United Kingdom ügyben az EJEB szintén ezt erősítette meg: az egyén privacy-je magánéletén kívül is összefüggésben lehet a privacy-vel, így védelem illeti meg („in a public context”). [P. G. and J. H. v. the United Kingdom (2001) Para. 56.] A szisztematikus megfigyelés és ennek folytán az adatok tárolása a magánélethez fűződő jogot sértheti. [Amann v. Switzerland (2000) Para. 65., P. G. and J. H. v. the United Kingdom (2001) Para. 37., Rotaru v. Romania (2000) Para. 43., Kopp v. Switzerland (1998) Para. 53.] Ha valamely intézkedés érintheti és ezzel veszélyeztetheti a magánélethez fűződő jogot, akkor nem lehet eltekinteni a tárgyalt alapvető jog szabályaitól. [Hatton and others v. the United Kingdom (2003) Para. 96.]11 A magánélethez való jog védendő érték, de nem korlátozhatatlan. A jogkorlátozás során az EJEB a következő szempontokat vizsgálja. Első szempontként a Bíróság megvizsgálja, hogy az adott jogkorlátozás a magánélethez fűződő jog területére esik-e. A Bíróság ezt követően azt vizsgálja, hogy a jogkorlátozás indokolt-e, ennek keretében: a) a jogkorlátozás csak legitim célból történhet, b) a jogkorlátozásnak meg kell felelnie a törvényi előírásoknak, és c) a jogkorlátozásnak szükségesnek kell lennie egy demokratikus társadalomban. [Leander v. Sweden (1987) Series A. és B.] Az Egyezményben meghatározott kivételeket szűkítően kell értelmezni. Így a jogkorlátozás felderítő-hírszerző szolgálat esetében a nemzetbiztonság védelme céljából igazolt lehet egy demokratikus társadalomban, de bizonyos alapvető követelményeknek meg
11
SIEMEN: i. m., 656-659. o. 12
kell felelnie az adatkezelésnek. [Rotaru v. Romania (2000) Para. 47. és 58. és Leander v. Sweden (1987) Para. 49., Klass and others v. Germany (1987) Para. 42., Silver and others v. the United Kingdom (1983) Para 97.] A személyes adatok védelméhez való jog korlátozása akkor lehet jogszerű, ha azt törvény írja elő, azaz a belső jogban meg kell határozni azt a jogalapot, amelyen a jogkorlátozás alapul. [P. G. and J. H. v. the United Kingdom (2001) Para. 37., 44. és 62., Silver and others v. the United Kingdom (1983) Para. 86.] A jog általi szabályozottság azonban nem formai, hanem tartalmi kritérium: nemcsak a formálisan törvényben lefektetett szabályok értendők, hanem – különösen az angolszász jogban – az estejog is. [Kruslin v. France (1990) Para. 29., Kopp v. Switzerland (1998) Para. 60.] Ennek a belső jogi előírásnak természetesen meg kell felelnie az adatminőség, a jogbiztonság követelményének: kellően meghatározottnak, és az emberek számára hozzáférhetőnek kell lennie. [Leander v. Sweden (1987) Para. 50., Amann v. Switzerland (2000) para. 46. és 55., P. G. and J. H. v. the United Kingdom (2001) Para. 44., Rotaru v. Romania (2000) Para. 48., Silver and others v. the United Kingdom (1983) Para 87.] Így nem felel meg az egyezmény előírásainak a törvényi előírás, amely nem határozza meg pontosan kezelhető adatok körét, az adatkezeléssel érintett személyi kört, az adatkezelés feltételeit, annak időtartamát, illetve az adatkezelés feletti kontroll módját [Rotaru v. Romania (2000) Para. 50. és 57.], különös tekintettel arra, hogy a technológia egyre fejlettebb. [Kruslin v. France (1990) Para. 33.] A Bíróság azt is megállapította, hogy a jogban lehetetlen mindig a teljes bizonyosságra törekedni, és ez a törekvés a túlzott merevség kockázatát is magán hordja. „Sok jogszabály elkerülhetetlen módon olyan megfogalmazásokat tartalmaz, amelyek – többé vagy kevésbé – homályosak és amelyek értelmezése és alkalmazása a gyakorlatra marad.” [Silver and others v. the United Kingdom (1983) Para. 88.] A nem egyértelmű jogfogalmak és a diszkrecionális jog önmagában nem feltétlenül jelentik az elv megsértését, feltéve, hogy a diszkréció területe és a gyakorlásának módja megfelelően, világosan rögzített, legitim célja van és az egyén megfelelő jogvédelmet élvez. [Gillow v. the United Kingdom (1986) Para. 51.] Hiszen ez az előfeltétele annak, hogy a jog előírásaihoz tudja a jogkövető állampolgár igazítani a magatartását, [Malone v. the United Kingdom (1984) Para 67., Sunday Times v. the United Kingdom (1979) Para. 49., Amann v. Switzerland (2000) para. 56.] és előrelássa magatartásának következményeit és ezzel az önkényes jogalkalmazás lehetőségét kizárja. [Leander v. Sweden (1987) Para. 50., P. G. and J. H. v. the United Kingdom (2001) Para. 46., Silver and others v. the United Kingdom (1983) Para 88.]. Természetesen az előreláthatóság nem egyforma követelmény minden adatkezeléssel szemben, de titkosszolgálati adatkezelés 13
esetén is meg kell határozni azokat a körülményeket és feltételeket, amely esetén a hatóság jogosult a személyes adatok kezelésére [Kopp v. Switzerland (1998) Para. 64.], valamint a mérlegelési jogköre tekintetében annak pontos határát, különös tekintettel az adatkezelés céljára, amely a megfelelő védelem biztosításának előfeltétele. [Leander v. Sweden (1987) Para. 51.] A jogszerű adatkezeléshez „kifejezetten és részletesen” rögzíteni kell a kezelhető adatok körét. [Leander v. Sweden (1987) Para. 55.] A magánszférájába történő önkényes beavatkozással szemben is csak akkor tud jogvédelemért fordulni az érintett személy, ha a jogkorlátozás feltételei megfelelően rögzítettek. A
jogbiztonság
követelményének
teljesülése
azonban
nem
elegendő
a
jogkorlátozáshoz: személyes adatok védelméhez való jog csak akkor korlátozható, ha az szükséges, azaz azt egy demokratikus társadalomban nyomós közérdek indokolja. [Leander v. Sweden (1987) Para. 58., Gillow v. the United Kingdom (1986) Para. 55., Silver and others v. the United Kingdom (1983) Para 97., Norris v. Ireland (1988) Para. 44.] A szükségesség fogalma nem rokonítható az „elengedhetetlen, elfogadható, szokásos, hasznos, elfogadható vagy kívánatos” jelzőkkel, az a nyomós társadalmi szükségletet jelenti. [Sunday Times v. United Kingdom (1979) Para. 59., Silver and others v. the United Kingdom (1983) Para. 97.] Abban a tekintetben, hogy a jogkorlátozás valóban szükséges-e egy demokratikus társadalomban, az államoknak van „bizonyos, de nem korlátlan” mérlegelési jogkörük, de az EJEB az a fórum, amely végső soron megítéli, hogy az az adott jogkorlátozás megfelel-e az Egyezménynek. [Silver and others v. the United Kingdom (1983) Para 97., Norris v. Ireland (1988) Para. 45.] A korlátozás azonban csak akkor lesz ebben az esetben is jogszerű, ha az megfelel az arányosság követelményének: a jogkorlátozásnak arányban kell állni az elérni kívánt céllal. [Leander v. Sweden (1987) Para. 58., Gillow v. the United Kingdom (1986) Para. 55., Silver and others v. the United Kingdom (1983) Para 97., Norris v. Ireland (1988) Para. 44.]12 Az adatkezelés arányosságát az adatkezelés célja és a beavatkozás természete is meghatározza. [Leander v. Sweden (1987) Para. 59., P. G. and J. H. v. the United Kingdom (2001) Para. 46.] A beavatkozás önkényességének megítélésénél azt is meg kell vizsgálni, hogy az adatkezelés az érintett személy „magánügyéhez” vagy „közszerepléséhez”, nyilvános megjelenéséhez kapcsolódik-e, és így annak felhasználása korlátozott volt-e, vagy lehetősége volt-e a nyilvánosságnak az adataihoz hozzáférni. [P. G. and J. H. v. the United Kingdom (2001) Para. 58.] Magánszemély által otthonából indított és ott fogadott hívásainak listázása
12
NINO, Michele: The protection of personal data in the fight againt terrorism. New perspectives of PNR European Union instruments in the light of the Treaty of Lisbon, In: Utrecht Law Review, Vol. 6., Issue 1 2010, 64-65. o.
14
és a beszélgetés rögzítése nyilvánvaló, hogy eltérő beavatkozást jelent az érintett személy (vagy inkább személyek) életébe. Ugyanakkor azt is fontos megjegyezni, hogy a nyomozás során nem feltétlenül szükséges valamennyi hívás rögzítése, hanem szükséges abban a tekintetben differenciálni, hogy ki a másik telefonáló fél. [P. G. and J. H. v. the United Kingdom (2001) Para. 42.] Az EJEB a Klass v. Germany ügyben fejtette ki azt az álláspontját, hogy az egyes államok a terrorizmus és más bűncselekmények miatt egyre nagyobb szükségét érzik az egyének titkos megfigyelésének, ugyanakkor az ilyen eljárási cselekményekkel való visszaéléssel szemben „megfelelő és hatékony garanciákat” kell lefektetni, azért, hogy a magánszférához való jog megfelelően biztosított legyen. [Klass and others v. Germany (1978) Para. 48. és 50.]13 Garanciális előírás, hogy csak a releváns adatok gyűjtése és továbbítása történhet meg. A szenzitív adatok kezelésére eltérő rendelkezések vonatkoznak. Az adatkezelés ténye közölhető az érintett személlyel, és adattovábbítás csak olyan személy vonatkozásában kérhető, aki – az adott ügyben – a munkára jelentkezett. Az adatot kezelő hatóságon kívül az általa kezelt adatok más szerv vagy személy általi kezelése nagyon korlátozott. [Leander v. Sweden (1987) Para. 62. és 64.] Az adatkezeléssel szemben hatékony jogorvoslatot kell biztosítani, melyet független és pártatlan szerv pontosan lefektetett eljárási szabályoknak megfelelően kell, hogy lefolytasson [Rotaru v. Romania (2000) Para. 59., Kruslin v. France (1990) Para 34.], de nem feltétlenül kell, hogy ez bíróság legyen. [Klass and others v. Germany (1978) Para. 54. és 56.] A megfelelő jogkorlátozást csak számos garanciális előírás tudja összességében biztosítani. [Leander v. Sweden (1987) Para. 67., Klass and others v. Germany (1978) Para. 51-53.] Az EJEB azt is kimondta, hogy a személyes adatok védelméhez való jog garanciális biztosítása nem érvényesül az által, ha általános szabályokat, elveket a jogalkotó meghatároz – mint például a célhoz kötöttség elvét vagy a törvényen alapuló adatkezelés – hanem szükséges az is, hogy az adatkezelés pontos feltételei is meghatározásra kerüljenek. Egyébként az Egyezmény által megkívánt „in accordance with the law” követelménye nem teljesül. [Amann v. Switzerland (2000) Para. 76-77.] Az EJEB esetjoga alapján megállapítható tehát, hogy nem esik az adatvédelem területére a) az az adat, amely önmagában privát információ, vagy
13
SIEMEN: i. m., 662. o. 15
b) ha szisztematikus gyűjtés, tárolás és egyéb adatkezelés nem állapítható meg, vagy c) ha az érintett személynek ésszerű várakozása lehet arra, hogy adatait kezelni fogják. Meg kell állapítani, hogy a magánélethez fűződő jog és az személyes adatok védelméhez fűződő jog vonatkozásában kétfajta viszony képzelhető el. Egyrészt ha a személyes adat közzététele a magánszféra és az adatvédelem területére egyaránt esik, ideértve azt is, ha az adatvédelem valamely speciális területét (pl. érzékeny adatok védelme) érinti, másrészt ha a közzététel kizárólag a személyes adatok védelme területére esik. Ezzel összhangban az EK Bíróság a Bavarian Lager-ügyben akként foglalt állást, hogy a személyes adatok nem mindegyike esik szükségképpen a privátszféra területére, így a hivatással összefüggő adatok sem minden esetben esnek a privátszféra körén kívül. [Bavarian Lager
Para.
118.
és
123.
http://curia.europa.eu/juris/showPdf.jsf;jsessionid=9ea7d2dc30dbc65229eeab874c498c9a892 ac239817c.e34KaxiLc3qMb40Rch0SaxuKchf0?text=&docid=72263&pageIndex=0&doclang =en&mode=lst&dir=&occ=first&part=1&cid=500380] Ennek megfelelően nincsen lehetőség arra, hogy ha valaki olyan tevékenységet végez, amely a nyilvánosság előtt zajlik, a vonatkozó személyes adatai titokban maradjanak.14
2.2.2.2. Az Európa Tanács 108. számú egyezménye 1981-ben az Európa Tanács elfogadta az ún. 108. számú egyezményt, amely a személyes adatok automatikus kezeléséről szólt. A 108. egyezmény valamennyi adatkezelésre nézve egységes szabályozást tartalmaz, azaz nem tesz különbséget a magánszektor és a közszektor között. Számos fontos, garanciális szabályt tartalmazott, de a legnagyobb hiányossága az volt, hogy a nem automatizált adatkezelésre az egyezmény hatálya nem terjedt ki.15 Az Európai Unió nemcsak a saját jogforrásaira támaszkodik, – mint ahogy ez az előbbiekből is kiderült –, hiszen a közös európai hagyományok meghatározzák az uniós tagállamok által képviselt értékeket. Így tesz akkor az Európai Unió Bírósága, amikor ezen
14
KRANENBORG, Herke: Access to documents and data protection in the European Union: on the public nature of personal data, In: Common Market Law Review 45., 2008, 1093-1094., 1100. és 1109. o. 15 NINO: i.m., 65-66. o.
16
egyezményre hivatkozik az elé kerülő ügyekben. [P. G. and J. H. v. the United Kingdom (2001) Para. 57.] 2001-ben elfogadott jegyzőkönyv megteremti az adatvédelmi felügyelő hatóság intézményét.16 Csak a jegyzőkönyv rendezte a harmadik országok felé történő adattovábbítást: az Európa Tanács Miniszteri Bizottságának 2001. évi kiegészítő jegyzőkönyve pótolta a megfelelő védelem biztosításának követelményével. Ezen védelmi szintet az EU korábban elfogadott 95/46/EK irányelve és a III. pillér keretében alkalmazandó kerethatározat is rögzítették. Így ez uniós szempontból az uniós államok tekintetében további kötelezettséget nem keletkeztetett, csak az egyébként is létezi garanciát erősítette meg. A jegyzőkönyvet azonban nem ratifikálta valamennyi tagállam, így az csak a jegyzőkönyvet ratifikáló államok viszonyában érvényesül.17
2.2.2.3. Az Európai Unió általi jogvédelemről18 Az Európai Unióban biztosított adatvédelem számos hiányosságban szenved, amely a Lisszaboni Szerződés által előidézett változásokkal, így a pillérrendszer lebontásával pozitív irányba mozdult el, de még továbbra sem hiánytalan a személyes adatok védelméhez és a privátszféra biztosításához való jog érvényre juttatása. (Ireland v. Parliament and Council 10 Feb 2009 C-301/06, C-402&415/05 P Kadi and Al Barakaat International Foundation v. Council) Annál is inkább, hogy a technológia fejlődése újabb és újabb kihívások elé állítja a biztonság és az alapjogok egyensúlyának biztosítására törekvőket. A biztonság érdekében a bűnmegelőzés és bűnüldözés hatékonysága érdekében számos jogkorlátozó intézkedéssel szemben megfelelő garanciák lefektetése szükséges. Mint ahogy az EJEE joggyakorlatában is megfigyelhető volt, az EU Bírósága is lefektette, hogy a privacy és az adatvédelem szorosan összefüggő fogalmak, de nem azonosak egymással. (Promusicae C-275/06 (2008)) A Bíróság az adatvédelmet akként határozta meg, hogy „az egy további alapvető jog, amely garantálja a személy adatok védelmét,
OROS Paulina – SZURDAY Kinga: Adatvédelem az Európai Unióban, In: Forgács Imre (főszerk.): Európai Füzetek 35., 4. o. 17 DE BUSSER, Els: EU data protection in transatlantic cooperítion in criminal matters. Will the EU be serving its citizens an American meal? In: Utrecht Law Review, Vol. 6., Issue 1., (January) 2010, 92-93. o. 18 v. ö. 1. számú melléklet 16
17
következésképpen a privacyt is.” A személyes adatok akkor is védelmet élveznek, ha a magánszféra nincsen veszélyben. (Runfdunk-ügy)19
2.2.2.3.1. A közösségi jogi adatvédelem A 95/46/EK irányelv megteszi a legfontosabb fogalmi meghatározásokat. Személyes adat alatt az irányelv alkalmazásában az OECD meghatározásához hasonlóan az az információ értendő, amely „azonosított vagy azonosítható személyre („érintettre”) vonatkozik. [2. cikk a) pont] A személyes adatokhoz képest a különleges adatokra nézve szigorúbb szabályokat ír elő. A különleges adatok alatt „a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra” és a szexuális életre vonatkozó adat értendő. [8. cikk (1) bek.] Az irányelv meghatározza ezen túl a személyes adatok feldolgozásának fogalmát is, amely a magyar jogszabályi terminológiában az adatkezelésnek feleltethető meg, ezért a továbbiakban az egységes fogalmi használat érdekében az adatkezelés terminológiát használom. Ez alatt az irányelv a következőt érti: „a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés.” [2. cikk b) pont] Az adatkezelés és az adatfeldolgozás ilyetén kezelését indokolja az is, hogy a későbbiekben az irányelv is megkülönbözteti az adatkezelő és az adatfeldolgozó fogalmát, amely már a hazai terminus technicusoknak megfeleltethetők. Így adatkezelő alatt az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv értendő, „amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki.” Adatfeldolgozó az adatkezelővel szemben az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely az adaton kizárólag technikai műveletet végez: „személyes adatokat dolgoz fel az adatkezelő nevében.” [2. cikk d) és e) pont] Az adatfeldolgozás jogalapjául az érintett személy beleegyezése vagy más törvényes érdek szolgálhat. Így személyes adat kezelhető akkor, ha
19
HIELKE – ALFONSO: i. m., 1485-1489. o.
18
a) „az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy b) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy c) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy d) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy e) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.” [7. cikk] A különleges adatok kezelése tekintetében azonban rendelkezhet úgy egy tagállam, hogy megtiltja ezen adatok kezelését. Ez a tilalom azonban nem vonatkozhat arra, ha az érintett személy kifejezetten hozzájárulását adta ilyen adat kezeléséhez – kivéve, ha törvény ettől eltérően rendelkezik –, vagy ha az érintett az adatot egyértelműen felismerhető módon nyilvánosságra hozta. Úgyszintén az érintett személy létfontosságú érdekeinek védelme előrébb való ezen tilalomhoz képest, akkor is, ha az érintett személy fizikai vagy jogi helyzete folytán nem tudja beleegyezését adni. [8. cikk (1) bek. és (2) bek. a), c) és e) pont] Más személy érdekeinek védelme is indokolhatja a különleges adat kezelését. Ennek megfelelően különleges adat kezelhető, ha a) az adatkezelő jogainak gyakorlásához vagy kötelezettségének teljesítéséhez szükséges a foglalkoztatással összefüggésben, feltéve, hogy ezt belső jogszabály lehetővé teszi, b) alapítvány, egyesület vagy más nonprofit szervezet törvényes tevékenysége keretében dolgoz fel adatokat azzal, hogy a feldolgozás kizárólag ezen szerv tagjára vagy olyan személyre vonatkozik, aki ilyen szervezettel rendszeres kapcsolatot tart a szervezet politikai, vallási, világnézeti vagy szakszervezeti céljainak biztosítása érdekében, de az adatok harmadik fél részére nem adható át az érintett személy beleegyezése nélkül, vagy c) szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy más ezzel egyenértékű titoktartási kötelezettség alá eső személy megelőző egészségügyi,
19
orvosi diagnosztikai célból vagy egészségügyi szolgáltatások igazgatása céljából dolgozza fel. [8. cikk (2) bek. b), d)-e) pont és (3) bek.] A meghatározott eseteken kívül tagállam egyéb körülményt is meghatározhat, amely esetében – alapvető közérdek védelme érdekében – szintén kezelhető különleges adat. [8. cikk (4) bek.] Büntetőítéletekről teljes körű nyilvántartás csak belső hatósági ellenőrzés mellett végezhető. Ezen kívül bűncselekménnyel, büntetőítélettel vagy biztonsági intézkedéssel összefüggő adatfeldolgozás hatósági ellenőrzés vagy a belső jog által nyújtott garancia mellett történhet. A tagállam rendelkezésétől függ azonban, hogy közigazgatási szankcióval vagy polgári ügyben hozott határozattal kapcsolatos adatokat szintén csak hatósági ellenőrzés mellett lehet-e feldolgozni. [8. cikk (5) bek.] Az irányelv az adatok minőségének elve körében olyan alapvető garanciális követelményeket fektetett le, mint a tisztességes és törvényes adatkezelés elve, valamint a célhoz kötöttség elve. A célhoz kötöttség elve az irányelv alkalmazásában azt jelenti, hogy az adatkezelés „csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon.” A személyes adatok csak a cél eléréséhez szükséges ideig kezelhetők, egyébként azok törlendők. Az adatoknak az elérni kívánt cél szempontjából megfelelőnek és relevánsnak kell lennie. [6. cikk (1) bek. a)-b) és e) pont]
A célhoz kötöttség követelménye azt jelenti, hogy a személyes adat kezelése
meghatározott célból történhet, és ezen célnak az adatkezelés valamennyi szakaszában meg kell felelni. A cél meghatározottsága így alapvető követelmény, ha a megfogalmazás önkényes jogértelmezésre ad lehetőséget, akkor az nem felel meg ezen követelménynek. A célhoz kötöttség elve szoros összefüggésben van az adatminőség és arányosság követelményével. Az arányosság követelménye is fontos alapelv, hiszen a beavatkozás nem lehet túlzott mértékű.
[6. cikk (1) bek. c) pont] Az adatkezelésre vonatkozó döntések
meghozatala csak akkor felelhet meg az arányosság elvének, ha „a korlátozás megfelelő és feltétlenül szükséges a legitim cél eléréséhez (…), és ha van választási lehetőség több megfelelő intézkedés közül, akkor azt kell választani, amelyik a legkevésbé hátrányos, és a jogkorlátozás nem lehet aránytalan az elérni kívánt céllal.” [Case C-33/88, Fedesa and Others (1990) ECR I-4023 Para. 13.; Case T-13/99 Pfizer Animal Health v. Council of the European Union (2002) ECR II-3305 Para. 411.; Case T-70/99 Alpharma Inc. v. Council of the European Union (2002) ECR II-3495 Para. 324.] A személyes adatok kezelése kapcsán végül arra utalnék, hogy az egyént ex ante és ex post megillető jogokat is rögzíti. Így az érintett személyt részletesen tájékoztatni kell az 20
adatkezelő személyéről, az adatkezelés céljáról és azzal kapcsolatos minden lényeges tényről, azért hogy az adatkezelés jogszerűsége megfelelően biztosítható és ellenőrizhető legyen. [10. cikk]20 A kezelt személyes adatoknak pontosaknak és időszerűeknek kell lenniük. Ezen elv biztosítása érdekében az adatokat helyesbíteni, törölni vagy zárolni kell, attól függően, hogy a kezelt adatok szükségesek-e még az elérni kívánt cél szempontjából. [6. cikk (1) bek. d) pont] Ennek előfeltétele az adathozzáféréshez való jog biztosítása, melynek keretében „korlátozás nélkül, ésszerű időközönként, túlzott késedelem vagy költség nélkül” információt kapjon arról, hogy kezelnek-e róla adatot, és az előzetes tájékoztatás során elhangzó információkról. [12. cikk a) pont] A személyes adatok kezelése esetén a jogorvoslathoz való jog garantálása elengedhetetlen követelmény. Az irányelv kimondja, hogy a bírósági utat megelőzően biztosítani kell egyéb jogorvoslási lehetőséget, amelynek keretében a nemzeti adatvédelmi felügyelő hatósághoz fordulhat az érintett személy. [22. cikk, 28. cikk (1) bek.] A felügyelő hatóságok nemcsak véleményező, javaslattevő és vizsgálati jogkörrel kell, hogy rendelkezzenek, hanem döntési jogköröket is biztosít az irányelv. [28. cikk (3) bek.] A személyes adatok védelméhez való jog korlátozását azonban megengedi, hogy többek
között
nemzetbiztonsági,
honvédelmi
vagy
közbiztonsági
célból,
illetve
bűncselekmény megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása, valamint az érintett vagy mások jogainak és szabadságainak védelme érdekében az szükséges. [13. cikk (1) bek. a)-d) és g) pont] Mindezen kivétel azonban csak a közösségi jog területén megvalósuló adatkezelésekre vonatkozhat, hiszen a másik két korábbi pillér keretében az irányelv nem hatályosul. Az irányelv hatálya nem terjed ki a közösségi jog területén kívül eső adatkezelésekre, így a korábbi második és harmadik pillér keretében megvalósuló adatkezelésekre. Az irányelv 3. cikk (2) bekezdése szerint ennek megfelelően „a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági
ügyre
vonatkozik),
továbbá
a
büntetőjog
területén
az
állami
tevékenységekkel kapcsolatos feldolgozási műveletek” nem esnek az irányelv hatálya alá.21 20
NINO: i. m., 66-67. o. OROS – SZURDAY: i. m. 8. o. FUSTER, Gloria Gonzalez – PAEPE, Pieter: Reflexive Govarnance and the EU Third Pillar: Analysis of Data Protection and Criminal Law Aspects, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 131. o. 21
21
Az EU az irányelv által előírt követelmények kizárólag az uniós határokon belül harmonizálták az adatvédelmi szabályokat. Az adatkezelés is azonban globalizálódik, így az irányelv az EU határain kívül is érvényesíteni kívánja a garanciákat azzal, hogy harmadik államok irányába adattovábbítás az irányelv hatálya alá tartozóan csak akkor lehetséges, ha az érintett személy hozzájárult, illetve ha az szerződésen alapul, és a harmadik állam megfelelő védelmet biztosít a személyes adatok kezelése tekintetében. [25. cikk (1) bek.] Ezzel multinacionális vállalatok dolga egyébként nagyban megnehezül.22 A megfelelő védelem megítélésénél többek között figyelembe kell venni „az adat természetét, az adatkezelési művelet vagy műveletek célját és annak folyamatát, az eredetországot és a címzett országot, a rule of law érvényesülését és a garanciális szabályokat, valamint a biztonsági követelményeket. [25. cikk (2) bek.] Ez egyrészt jelenti annak vizsgálatát, hogy milyen természetű adat kezeléséről van szó, másrészről pedig annak összevetését, hogy a harmadik állam az uniós szabályokhoz képest milyen garanciákat biztosít. Jóllehet abban nem ad iránymutatást az irányelv, hogy a megfelelő védelemhez legalább olyan szintű védelemben kell a személyes adatokat részesíteni, mint ahogy azt az Unió teszi, vagy kevesebb védelem is elegendő lehet a megfelelő védelemhez.23Az USA a megfelelőséget azzal biztosította, hogy a Safe Harbour24 elveket elfogadta.25
22
SANTOLLI, Justin: The Terrorist Finance Tracking Program: illuminating the shortcomings of the European Union’s antiquated data privacy directive, In: The George Washington International Law Review, Vol. 40. No. 2. 2008, 567. és 581. o. 23 SIEMEN: i.m., 635.és 829. o. 24 A Safe Harbour-dokumentum két részből áll, egyrészt alapelvek deklarációjából és gyakran elhangzó kérdésekből. A Safe Harbour elvek között találjuk az érintett személy tájékoztatáshoz való jogát az adattárolás és -továbbítás céljáról, a felhasználással szembeni tiltakozásról. Ez a tájékoztatás az első adatfelvételnél és a harmadik félhez történő továbbítást megelőzően is fennáll. Ez a jogosultság az európai adatkezelésnél is az egyik garanciális elem. A másik rögzített elv a választási lehetőség biztosítása az érintett személy számára, amely elv az információs önrendelkezési jog egy szeletét jelenti: az érintett személy dönthet arról, és így közvetlenül beavatkozhat az adatkezelés folyamatába, hogy egyéb célra kezelhető-e az adata vagy az továbbítható-e harmadik fél számára. Az adattovábbítás elve kapcsán rögzíti a Safe Harbour-doktrína, hogy az csak meghatározott feltételek fennállása esetén és akkor történhet meg, ha az érintett személy az előzőekben ismertetettek szerint választási lehetőséggel élhetett. Az adattovábbítás akkor lehetséges, ha a harmadik fél is megfelel a Safe Harbour elvek vagy a 95/46/EK irányelv előírásainak, vagy más védelmi szint ésszerű követelményeit teljesíti, vagy az adatkezelő szerződő fél a szerződésben kötelezte magát arra, hogy betartja a Safe Harbour-elveket. Ez utóbbi kitételből azonban az is következik, hogy a szerződő felek nincsenek automatikusan alávetve a Safe Harbour-ban megfogalmazott elveknek, csak akkor, ha azt magukra nézve kötelezőnek ismerik el. Az adatkezelőt terheli az adatbiztonság garantálása a jogosulatlan hozzáféréssel, változtatással, megsemmisüléssel, továbbítással szemben. Az adatnak pontosnak, teljesnek és aktuálisnak kell lennie. Ezzel a követelménnyel szorosan összefügg a célhoz kötöttség elve. A doktrína garantálja a felvilágosításhoz való jog passzív és aktív formáját is. A passzív formája szerint az érintett bármikor felvilágosítást kérhet a tárolt személyes adatairól. az aktív jogosultság pedig a törlés, módosítás és helyesbítés jogát öleli fel, feléve, hogy az adatok hamisak. Az tisztázatlan marad, hogy a törlés joga érvényesül-e akkor, ha az érintett személy hozzájárulását adta az adatkezeléshez, utóbb azt mégis vissza akarja vonni.
22
Összességében tehát megállapíthatjuk, hogy a jogszerű adatkezeléshez elengedhetetlen a kezelt adatok körének meghatározása, az adatkezelés céljának és időtartamának lefektetése, az eredet és címzett ország pontos azonosítása, az általános és különös adatkezelési normák lefektetése – hiszen nem minden államban rögzítettek az adatkezelési elvek –, valamint az adatbiztonsági követelmények rögzítése.26 A megfelelő védelem követelménye azonban ott léket kap, hogy a megfelelő védelmet biztosító államokról nincsen egy lista, így azt az egyes államok, szervek önmaguk ítélik meg, hogy mely állam szabályozását ítélik megfelelőnek.27 Megfelelő védelem hiányában is lehetséges azonban – többek között – az adattovábbítás, ha a tagállam így rendelkezik, feltéve, hogy a) az érintett személy egyértelmű hozzájárulását adta, b) azt jogszabályban rögzített, fontos közérdek indokolja, c) az érintett személy létfontosságú érdekei miatt szükséges, vagy d) ha „az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében.” [26. cikk (1) bek. a), d)-e) pont és (2) bek.]
Érvényesülés-princípium további olyan követelményeket fogalmaz meg, amelyek az adatvédelmi elvek érvényesülését szolgálják, mint a jogsértés esetén történő szankcionálást, ehhez szükséges az ellenőrzőmechanizmusok megteremtése, a jogorvoslati eljárások biztosítása. Az USA-ban a Szövetségi Kereskedelmi Bizottság és a Közlekedési Minisztérium tölti be a kontrollszerepet. Ezen elvek sem érvényesülnek azonban általános jelleggel, így a közlekedési ágazat szerelői tekintetében miniszter eltérő szabályokat állapíthat meg. Ennek az indoka, hogy tipikusan ezen adatkezelők nemzetközi adattovábbítás résztvevői. A pénzügyi intézmények, telekommunikációs vállalkozások, államok közötti fuvarozó cégek. Ezen rendelkezések alól a tagállami jogalkotók is eltérhetnek, így ha van ezzel ellentétes tagállami szabályozás, azt kell alkalmazni. A Safe Harbour figyelmen kívül hagyja azokat a jogalanyokat, amelyek tevékenységüket nem ez EU területén fejtik ki tevékenységüket, hanem pl. kizárólag az USA-ban. A Safe Harbour-elveknek számos gyengesége van. Így azoknak az érvényesüléséhez kétség fér. Az ellenőrző hatóságok nem tipikus adatvédelmi szervek, azok másfajta – döntően kereskedelmi – érdeke által is vezérelt, ezért a jogorvoslat kimenetele is ez által befolyásolt. Az adatvédelmi kérdések ezen intézmények tekintetében csak legfeljebb másodlagos kérdések. Mivel nincsen rögzítve ezen alapjog az Alkotmányban és ezen dokumentumban sem, a bíróságok annak védelmi szintjét nem is tudták kidolgozni, mindig esetről esetre döntenek. Rendes polgári jogi úton való igényérvényesítés vonatkozásában viszont azt kell elmondani, hogy az rendkívül hosszú és tagállami szinten különböző megoldásokra vezethet. Az EU szabályaihoz képest azonban a legnagyobb hiányossága Safe Harbor-nak, hogy nem rögzíti az adatvédelemhez való jogot. Ugyanakkor még mindig ez a dokumentum az, amely a legteljesebb körben szabályoz személyes adatok védelméhez kapcsolódó garanciákat. Ebből fakad az amerikai fragmentált szabályozási jelleg is. Ezért a doktrína nem tud az amerikai törvények alapjaivá válni. [Genz: i. m., 130., 135136., 138-141., 143., 145., 148., 151.,169., 172., 174-175., 180. o.] 25 SANTOLLI: i. m., 567. o. 26 GENZ: i. m., 42. o. 27 DE BUSSER: i. m., 93. o.
23
Az irányelv nagy előnye, hogy technológiasemleges, olyan általános garanciákat rögzít, amelyeknek a technikai megoldástól függetlenül érvényesülnie kell. Ezen garanciákat a tagállamoknak át kellett ültetniük a belső jogukba. Az irányelv 29. cikk (1) bekezdése létrehozta az Adatvédelmi Munkacsoportot, amely más szervek delegált képviselőiből áll: tagállami felügyelő hatóságok képviselőiből, közösségi adatvédelmi hatóság képviselőjéből és az EB képviselőjéből. [29. cikk (1) és (2) bek.]28 Az Adatvédelmi Munkacsoport az adatkezelés valamennyi területén az egységes jogértelmezés és jogfejlesztés keretében ajánlásaival, véleményeivel komoly munkát végez. A 29. Munkacsoport a munkaanyagait részben hivatalból, részben az EB által előkészített jogi dokumentumok tervezetének véleményezése céljából születtek. [30. cikk (1) és (3) bek.] A Munkacsoport nemcsak a közösségi jog keretében megvalósuló adatkezelések tekintetében fejtette ki álláspontját, hanem a nemzetközi rendőrségi és bűnügyi együttműködés kapcsán is. A tevékenysége során különös figyelmet fordít a harmadik államokba történő adattovábbítás és az információtechnológia által támasztott kihívások adatvédelmi elemezésére, így különösen a megfelelő védelem biztosítására.29 Jóllehet a Munkacsoportot az első pillér keretében megvalósuló adatkezelések felügyeletére hozták létre, annak munkája valamennyi adatkezelésre kiterjedt, főként az Európai Adatvédelmi Ombudsman létrehozataláig.30 A Munkacsoporton túl a – részben vagy egészben – közösségi adatkezelésre nézve az Európai Parlament és a Tanács elfogadta a 45/2001/EK rendeletet, amely kétszintű belső adatvédelmi rendszert ír elő: létrehozta az európai adatvédelmi ombudsman és az európai ombudsman mellett pedig minden közösségi intézménynek vagy szervnek legalább egy adatvédelmi hivatalnokot ki kell neveznie.31 Az Európai Adatvédelmi Ombudsman szemben a Munkacsoporttal nem a tagállamok adatvédelmi hatóságainak delegáltjaiból áll, de kötelezettsége, hogy a nemzeti felügyelő hatóságokkal és a harmadik pillér keretében működő szervekkel – amelyeknek nincsen hivatalos kapcsolata a Munkacsoporttal – együttműködjön. Az Eurodac vonatkozásában az Európai Adatvédelmi Ombudsman a központi adatbázis felett és az ebből tagállamok felé történő továbbítást felügyeli, míg a nemzeti felügyelő hatóságok
28
SANTOLLI: i. m., 568. o. OROS – SZURDAY: i. m., 15. o. 30 FUSTER: i. m., 132. o. 31 OROS – SZURDAY: i. m., 17. és 19. o. 29
24
felelősek a tagállami adatkezelésért és a központi adatbázis felé történő adattovábbításért. Ez a fajta közös felügyelet más adatkezelések esetében is alkalmazható lehet a jövőben. Az adatvédelmi hivatalnok a szervezeten, intézményen belül felel az adatkezelések jogszerűségéért. Ezen tisztviselők esetében is fontos garancia, hogy függetlenek. Az adatvédelmi hivatalnokok együttműködnek az Európai Adatvédelmi Ombudsmannal. El kell tehát ismerni azt, hogy az adott szerven kívül álló felügyelet mellett vagy annak alternatívájaként létezhet más hatóság is, de a kulcskérdés mindig annak függetlensége.32
2.2.2.3.2. A rendőrségi és bűnügyi együttműködés keretében megvalósuló adatvédelem jogforrása Az Európai Unió pillérrendszeréből kifolyólag az első pillér keretében elfogadott irányelv hatálya a második és harmadik pillér keretében megvalósuló adatkezelésekre nézve nem terjed ki. [95/46/EK irányelv 3. cikk (2) bek.] Tény, hogy büntetőügyekben az általános adatvédelmi szabályoktól eltérő rendelkezésekre van szükség, hiszen a büntetőügyekben gyakran az adatkezelés nem biztos tényeken, hanem gyanún alapul, amely az adatkezelés általános elveivel nehezen egyeztethető össze. Ugyanakkor nincs egy ilyen átfogó uniós jogforrás.33 A biztonság és a jog között megbomlott egyensúlyt egy kerethatározattal kívánta az Unió helyrebillenteni: ezt a hiányosságot a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló 2008/977/IB kerethatározattal igyekezett pótolni, mely az Európai Unióról szóló Szerződés 30. cikk (1) bekezdés b) pontján alapul. Ugyanakkor ez sem tekinthető átfogó szabálynak, mert bizonyos adatkezelésekre nem terjed ki a kerethatározat hatálya. Nincsen olyan uniós dokumentum, amely a tagállami szinten folyó bűnügyi adatkezelés alapvető követelményeit teljes körűen lefektetné. A kerethatározat hatálya nem terjed ki továbbá az Europol és az Eurojust előtt folyó eljárásra sem. Úgyszintén harmadik államokkal való együttműködésre sem kell alkalmazni ezt a kerethatározatot, hanem azt a szerződő államok a két- vagy többoldalú megállapodásokban szabályozzák. Annak ellenére, hogy a kerethatározat megfelelő szintű védelmet követel meg harmadik államoktól, ugyanakkor a védelem megfelelő szintje államonként eltérő.
FUSTER: i. m., 133-134. és 145-146. o. 21. Nyilatkozat a személyes adatok védelméről a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén 32 33
25
A védelem megfelelő szintje is bizonyos rendelkezések miatt léket kap.34 Így a kerethatározat lehetőséget ad arra, hogy a továbbítás során meghatározott céltól eltérő, bármilyen (sic!) célból kerüljön sor adatkezelésre, ha az adattovábbító tagállam vagy az adatalany ehhez előzetesen hozzájárul. A kerethatározat annak ellenére, hogy a korábbi harmadik pillér keretében megvalósuló adatkezelésekre nézve tartalmaz, nem határoz meg olyan speciális szabályokat, amelyeket feltétel nélkül garantálni kellene, mert kimondja, hogy más speciális szabályok a kerethatározathoz képest elsőbbséget élveznek, így a benne meghatározott minimum követelmények eltérő szabályozás esetében nem érvényesülnek. Az ECRIS-t szabályozó kerethatározat vagy a PNR-megállapodások is ilyennek tekinthetők, amelyekről a későbbiekben lesz még szó. Érdekesség, hogy mindegyik a 108. adatvédelmi egyezményt tekinti az adatvédelem tekintetében irányadónak.35 Vannak azonban olyan uniós jogforrások is, amelyek a kerethatározatban lefektetett követelményeknél szigorúbb előírásokat támasztanak. A Schengeni Egyezmény Végrehajtásáról szóló 1990. június 19-i Egyezmény az addigi legrészletesebb adatvédelmi szabályokat tartalmazta a tagállami együttműködés területén.36 Ennek a jogalkotásnak az lett az eredménye, hogy az uniós jogalkotó nagyon hasonló területeken külön-külön szabályozza az adatvédelmi követelményeket, így indokolatlanul megnövekszik az alkalmazandó uniós joganyag, amely jogbizonytalansághoz vezethet, és természetesen ezzel a jogalkotással még nem orvosolja az átfogó védelem hiányát. Vitathatatlan, hogy a jelenlegi adatvédelmi szabályok nem kielégítőek. Jóllehet az alapelvek univerzálisak, szükségesnek mutatkozik egy átfogó adatvédelmi szabályozás a bűnügyi együttműködés területén, hiszen az információcsere egyre szélesebb körű lesz, és az uniós szervek is egyre több személyes és különleges adathoz jutnak.37 A rendőrségi és bűnügyi együttműködés keretében megvalósuló adatkezelések esetén a közös ellenőrző hatóságok felállítása tipikus, mint ahogy történt ez a Schengeni rendszer, a Váminformációs rendszer vagy az Europol kapcsán. A közös ellenőrző hatóságok más HIELKE – ALFONSO: i. m. 1494. o., 1499. o. A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről 11. cikk d) pont, 28. cikk HIELKE – ALFONSO: i. m. 1494-1495. o. 36 IGAZ Tünde: A schengeni felkészültségünk és adatvédelmi vonatkozásai, In: Laukó Károly: Bűnüldözés, adatvédelem, Schengen, BM Kiadó, Budapest, 2004, 61. o. 37 A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről 11. cikk d) pont, 28. cikk HIELKE – ALFONSO: i. m. 1496. o. 34 35
26
szervek képviselőiből áll, ugyanakkor ezen közös ellenőrző hatóságoknak nincsen tanácsadó vagy koordinációs jogköre, ezek főként felügyeleti jogkörrel rendelkeznek. Így a nemzeti felügyeleti szervekhez hasonlítanak, csak korlátozott felügyeleti jogokkal és hatáskörrel. A Shengeni közös ellenőrző hatóságot nemzetközi egyezmény hozta létre, amelynek tagjai azonosíthatók a Váminformációs rendszer kapcsán felálló közös ellenőrző hatóság tagjaival és a Munkacsoport tagjaival. Az Eurojust esetében ugyanez már nem mondható el, mert a tagjai igazságügyi hatóságok küldötteiből áll, de a titkárságuk közös. A közös ellenőrző hatóságok mellett pedig még számos kontrolleljárás létezik. Ezen fragmentált jellegű ellenőrzőmechanizmus semmiképp sem szolgálja hatékonyságot, már csak azért sem mert ezen hatóságok között hiányzik a koordináció, és egyikük sem rendelkezik széleskörű jogosítványokkal. Fontos itt arra továbbá utalni, hogy a bűnügyi és rendőrségi együttműködés területén az adatvédelmi kontrollmechanizmusok eltérnek a közösségi jogitól, amely azért okoz problémát, mert ezen két terület nem húzhatók egyértelmű határvonalak, így sok eseten nem egyértelmű, hogy mely szerv rendelkezik hatáskörrel. Érdemes esetleg azon elgondolkodni, hogy az Adatvédelmi Munkacsoporthoz hasonló felügyeleti és tanácsadó szervet kellene létrehozni a bűnügyi és rendőrségi adatkezelésekre nézve is, vagy annak a hatáskörét ki kellene terjeszteni.38 A rendőrségi és bűnügyi adatkezelés esetében mondhatni, hogy teljességgel hiányzik a bírósági kontroll.39 Bizonytalansági tényező, hogy az Európai Bíróságnak nem egységes az álláspontja abban a kérdésben, hogy meddig terjed a közösségi jog határa. Így az sem egyértelmű, hogy a 95/46/EK irányelv hatálya milyen adatkezelésekre terjed ki. Ez a probléma nem veszíti érvényét a Lisszaboni Szerződés hatályba lépésével sem. Ennek megítélésben azonban a Bíróság sem foglalt egyértelműen állást. Az Österreichischer Rundfunk-ügyben az Európai Unió Bírósága akként döntött, hogy kiszámíthatatlan lenne a jogkövető polgár számára, ha valamely uniós szabály alkalmazhatósága kérdésének felmerülése esetében mindig vizsgálni kellene a belső piaccal, vagyis a közösségi joggal való összefüggést, 40 jóllehet a Bíróság a Lindquist-ügyben még úgy foglalt állást, hogy ha a szabálynak valódi hatása van a belső piac
FUSTER, Gloria Gonzalez – PAEPE, Pieter: Reflexive Govarnance and the EU Third Pillar: Analysis of Data Protection and Criminal Law Aspects, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 134-135, 137. o. 39 LANG, Peter: Third Pillar Developments form a Practitioner’s Perspective, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 267. o. 40 HIELKE – ALFONSO: i. m. 1502. o. 38
27
kialakítására, illetve működésére, akkor az a közösségi jog területére esik, hiszen az lényegét tekintve nem gazdasági jellegű magatartásra irányult, hanem jótékonysági célú volt.41 A Bíróság a PNR-ügyben viszont azt állította, hogy az első pillérbeli irányelv hatálya alól kivett tárgykörök alá esik az USA területére, területéről vagy területén keresztül járatot indító légi utasszállítók azon kötelezettsége, hogy az Egyesült Államok vámhatóságai számára hozzáférést biztosítsanak a helyfoglalási és az indulásellenőrzési rendszereikben a „Passanger Name Records”-nak (PNR) nevezett információkhoz. Mivel azok a közbiztonság biztosítását szolgálják, nem terjeszthető ki rájuk az irányelv hatálya, akkor sem, ha gazdasági szereplőként a közösségi jog hatálya alá tartózó tevékenysége során jutnak a légitársaságok az információkhoz. Az első és a harmadik pillér között tehát a határvonal nem egyértelmű, de az ismertetett döntésekből le lehet vonni azt a következtetést, hogy a közösségi pillérben deklarált védelem nem terjed ki minden esetre.42 Bizonyos jogintézmények esetében a szakértők megítélése sem egységes, így például a Váminformációs rendszer jogi alapjait a közösségi jog keretében találhatjuk meg, vannak azonban, akik annak bizonyos vonatkozásait a korábbi harmadik pillér területére sorolják. Hasonló állásponttal találkozhatunk az Europol esetében is. Ez azért okoz problémát, mert jogbizonytalansággal jár: nem tudja az egyén, hogy hová fordulhat jogorvoslatért.43 Ez a bizonytalansági tényező a pillérrendszer megszüntetésével sem tűnt el, ezen még dolgozni kell. Az alapjogok szempontjából azonban mindenképpen figyelemre méltó, hogy a Charta a személyes adatok védelméhez való jogot önálló jogként, és nem a magánszférához való jog részeként definiálja, és megalapozza a független adatvédelmi felügyelet intézményét. A pillérrendszer eltörlése megfelelő alap lehet egy közös adatvédelmi rendszer kialakítására. Kérdés azonban, hogy lehet-e egy általános adatvédelmi rendszert létrehozni?44
2.2.2.3.3. A közös kül- és biztonságpolitika területén megvalósuló adatvédelem Az Unióban megvalósuló biztonság két aspektusát különböztethetjük. A biztonság belső aspektusát a Szabadság, a Biztonság és a Jog térsége jelenti, míg a külső biztonságra vonatkozó szabályokat a közös kül- és biztonságpolitika foglalja magában [a továbbiakban: 41
COUDRAY, Ludovic: Case law, In: Common Market Law Review, v. 41, n. 5, 2004, 1364., 1368. o. Jóllehet az irányelvet nem teljes egészében és feltétel nélkül tartotta alkalmazhatónak a Bíróság, így a megfelelő védelem követelményét nem kívánta meg az Unióban létesült természetes vagy jogi személy internetszolgáltatótól, mert a hozzáférhetőség nem idéz elő olyan adattovábbítást, ami tényleges hozzáférést jelent. 42 HIELKE – ALFONSO: i. m. 1503. o., 1508. o. 43 LANG: i. m., 268. o. 44 FUSTER – PAEPE: i. m.
28
KKBP]. A közös kül- és biztonságpolitika területére tartozik a külpolitika minden területe és az EU biztonságát érintő valamennyi kérdés. Külön részt képez ezen belül a kialakuló védelempolitika.45 [EUSz. 24. cikk (1) bek.] A Szabadság, a Biztonság és a Jog térsége azt jelenti, hogy „az Unió egy belső határok nélküli, a szabadságon, a biztonságon és a jog érvényesülésén alapuló olyan térséget kínál polgárai számára, ahol a személyek szabad mozgásának biztosítása a külső határok ellenőrzésére, a menekültügyre, a bevándorlásra, valamint a bűnmegelőzésre és bűnüldözésre vonatkozó megfelelő intézkedésekkel párosul.” [EUSz. 3. cikk (2) bek.] A közös kül- és biztonságpolitikával azért is kell foglalkoznunk, mert az egyes „pillérek közötti elhatárolás nem mindig egyértelmű, az ezen területre eső intézkedések aktusok is bizonyos vonásaiban hasonlítanak a bűnügyi és rendőrségi együttműködés területén megvalósuló megszorító aktusokra. A Charta a szabadsághoz és biztonsághoz való jogon kívül számos alapjogot rögzít, amelyek viszont – számukat tekintve – túlsúlyban vannak a biztonsághoz képest, jóllehet ez utóbbi nyer elsőként megfogalmazást a szabadságok között, és csak ezt követi – még így is kitüntetett helyen – a magánélethez fűződő jog és a személyes adatok védelméhez fűződő jog46 deklarálása. [Alapjogi Charta 6-8. cikk] A tagállamok a biztonságpolitika területén is nehezen engednek a szuverenitásukból. Hiszen a biztonságot nemcsak a jogosultság oldaláról (mint biztonsághoz való jogot) kell megközelíteni, hanem sokkal inkább mint kötelező, korlátozó jellegű deklaráció. A szabadságon, a biztonságon és a jog érvényesülésén alapuló térségre vonatkozó szabályok megalkotása megosztott hatáskörben maradt. [EUMSz. 4. cikk (2) bek. j) pont] A tagállami, belső biztonság biztosítása azonban kizárólagos hatásköre a tagállamoknak. [EUSz. 4. cikk (2) bek., EUMSz. 72. cikk]47 Ugyanakkor az EU is „a bűncselekmények (…) megelőzésére és leküzdésére irányuló intézkedésekkel, valamint a rendőri, az igazságügyi (…) hatóságok koordinációjára és együttműködésére irányuló intézkedésekkel, továbbá a büntetőügyekben hozott bírósági határozatok kölcsönös elismerése és – amennyiben szükséges – a büntetőjogszabályok
közelítése
révén
a
biztonság
magas
szintjének
garantálásán
A védelempolitika az Unió műveleti képességének biztosítására törekszik. Ezt polgári és katonai eszközök igénybevételével biztosítja. A védelempolitika végrehajtása a tagállamok feladata. Ez természetesen nem érinti a tagállami védelmi politikát és a NATO-ban vállalt kötelezettségeiket sem. [EUSz. 42. cikk] 46 Alapjogi Charta 8. cikk (1) Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. (2) Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni. (3) E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie. 47 v. ö. EUMSz. 68-69. cikk 45
29
munkálkodik,” mindezt az alapvető jogok tiszteletben tartásával. [EUMSz. 67. cikk (1) és (3) bek.] Azaz a Lisszaboni Szerződés után a bírósági döntések kölcsönös elismerésének elve és a büntető jogszabályok harmonizációja külön hangsúlyt kap, hiszen az államok közötti bizalom kialakításának ezek az előfeltételei. [EKSz. 61. cikk e) pont] A rugalmas szabályozás a hatékony jogalkotás és jogalkalmazás feltétele. Itt is számos előrelépés történt, jóllehet fontos, hogy ezt az alapjogok oldaláról ne visszalépésként értékeljük. Így említhetem, hogy az Európai Parlament és a Tanács rendes jogalkotási eljárás keretében, rendeletben meghatározhatja – feltéve, hogy az „a terrorizmus és az ahhoz kapcsolódó tevékenységek megelőzése és az azok elleni küzdelem érdekében szükséges” – „a tőkemozgások és a fizetési műveletek terén meghozott közigazgatási intézkedések, így például a természetes és jogi személyek, csoportok vagy nem állami, illetve államisággal nem rendelkező entitások birtokában vagy tulajdonában lévő, illetve őket illető pénzkészletek, pénzügyi eszközök és gazdasági jövedelmek befagyasztásának kereteit.” [EUMSz. 75. cikk] A Lisszaboni Szerződés hatályba lépése előtt a Tanács a Bizottság javaslata alapján tehette meg minősített többséggel harmadik országok vonatkozásában a tőkemozgásokra, illetve a fizetési műveletekre vonatkozó szükséges sürgős lépéseket, ha „közös álláspont vagy együttes fellépés egy vagy több harmadik országgal fennálló gazdasági kapcsolatok felfüggesztésére, korlátozására vagy teljes megszakítására irányuló fellépésről” rendelkezett. [EKSz. 60. cikk (1) bek., 301. cikk] A pillérrendszer megszüntetésével a közös kül- és biztonságpolitika fokozatosan az egységes uniós jogrend részévé válik. [Costa and Simmenthal-ügy] Kérdés maradt azonban, hogy a közösségi jog a Lisszaboni Szerződés után élvez-e még elsőbbséget a közös kül- és biztonságpolitika területén elfogadott joganyaggal szemben. Az elsőbbség és a közvetlen hatály érvényesülésének kérdése azonban a korábbi második pillérben sem tisztázott, és az EU Bíróságának nincs is meg a kompetenciája, hogy ebben a kérdésben állást foglaljon. Ennek az az oka, hogy a Lisszaboni Szerződés hatályba lépése után sem terjed ki főszabályként a Bíróságnak a hatásköre a közös kül- és biztonságpolitika területén született normák felülvizsgálatára. Az egységes és önálló jogrend-felfogásból, a joganyag ellentmondás-mentességének követelményéből és a kifejezett kizáró szabály hiánya miatt viszont arra lehet következtetni, hogy az elsőbbség a pillérek között már nem érvényesül. Ennek gyakorlati megvalósulása azonban a nemzeti bíróságokra marad, amelyek viszont ebben a kérdésben maguk kell hogy döntsenek, hiszen előzetes döntéshozatali eljárás
30
keretében sincsen hatásköre az EU Bíróságának e kérdésben ítélkezni. Így az egységes jogértelmezés veszélybe kerülhet. Számos lépés történt azonban az integráció felé, azonban ez még korántsem teljes, a kormányközi
jellegen
túl
szupranacionális
jegyeket
is
mutat.
Mindenképpen
a
közösségiesedést támasztja alá az EUSz. azon megállapítása, amely az Unió külső tevékenységére nézve – beleértve a közös kül- és biztonságpolitikát – közös elveket határoz meg, és azonos célkitűzések érvényesülnek, hiszen 2009. december 1-jét megelőzően a közösségi politikák elsőbbséget élveztek. [EUSz. 23. cikk] A „közössségi” jelleget erősíti, hogy a közös kül- és biztonságpolitika bizonyos területén is helye lehet bírói felülvizsgálatnak, jóllehet nem terjed ki a jogvédelem a korábbi második pillér egész területére. A Bíróság eljárhat a természetes, illetve a jogi személyekkel szemben alkalmazott korlátozó intézkedések jogszerűségi felülvizsgálatában. Jogosult továbbá a Bíróság a természetes, illetve a jogi személyek által hozzá benyújtott keresetet elbírálni, ha az olyan jogi aktus jogszerűségére vonatkozik, amelynek a címzettje a keresetet benyújtó személy, vagy őt közvetlenül és személyében érinti, „továbbá az őt közvetlenül érintő olyan rendeleti jellegű jogi aktusok ellen, amelyek nem tartalmaznak végrehajtási intézkedéseket.” [EUMSz. 275. cikk] Az Unió Bírósága továbbá abban a kérdésben is dönthet, hogy az adott ügy a közös kül- és biztonságpolitika területére vagy azon kívül esik-e. [EUSz. 24. cikk (1) bek., 40. cikk]48 A bírói jogvédelem alá esnek a Szabadság, a Biztonság és a Jog térsége területén elfogadott rendelkezések, illetve az ezen a területen működő szervezetek (Europol, Eurojust) tevékenysége. Ez alól két kivétel van. Nem terjed ki a bírósági felülvizsgálat a tagállami rendőri (más bűnüldöző szervei) által végrehajtott intézkedések érvényességére és arányosságára. A másik kivételt pedig a belső biztonság és a közrend fenntartásával kapcsolatos tagállami hatáskörök képezik. [EUMSz. 276. cikk]49 A közös kül- és biztonságpolitika területén jelentős előrelépést jelent a külügyi és biztonságpolitikai főképviselő intézményének bevezetése, aki irányítja az EU közös kül- és biztonságpolitikáját, illetve a közös kül- és védelempolitikát. „Javaslataival hozzájárul e politika alakításához, és azt a Tanácstól kapott felhatalmazásban foglaltak szerint végrehajtja.” [EUSz. 18. cikk (2) bek.] „A közös kül- és biztonságpolitikára vonatkozó ügyekben az Uniót a főképviselő képviseli. Az Unió nevében politikai párbeszédet folytat 48
VAN ELSUWEGE, Peter: EU external action after the collapse of the pillar structure: in search of a new balance between delimitation and consistency, In: Common Market Law Review, v. 47, n. 4, 2010, 990-991 o., 994. o., 1010. o 49 BARENTS, René: The Court of Justice after the Treaty of Lisbon, In: Common Market Law Review, v. 47, n. 3, 2010, 719. o.
31
harmadik felekkel, és képviseli az Unió álláspontját a nemzetközi szervezetekben és nemzetközi konferenciákon.” [EUSz. 27. cikk (2) bek.] Egy ilyen személy nélkülözhetetlen az egy koherens külső fellépéshez. [EUSz. 26. cikk (2) bek.] A külügyek terén azonban az Európai Tanács és a Bizottság is rendelkezik hatáskörrel. Ez utóbbinak egyik alelnöke a főképviselő. „A Bizottságon belül ő felelős a Bizottság külkapcsolatokkal összefüggő feladatainak ellátásáért és az Unió külső tevékenysége egyéb területeinek összehangolásáért.” [EUSz. 18. cikk (4) bek.] Az EUSz. szerint „az Európai Tanács elnöke – a saját szintjén és e minőségében, valamint az Unió külügyi és biztonságpolitikai főképviselője hatáskörének sérelme nélkül – ellátja az Unió külső képviseletét a közös kül- és biztonságpolitikához tartozó ügyekben.” [EUSz. 15. cikk (6) bek.] Ezenkívül pedig a Bizottság „a közös kül- és biztonságpolitika, valamint a Szerződések által meghatározott más esetek kivételével ellátja az Unió külső képviseletét.” [EUSz. 17. cikk] Jóllehet a KKBP számos szupranacionális jelleget mutat, de bizonyos esetekben a kormányközi jelleg domináns maradt. A közös kül- és biztonságpolitika területén a jogalkotási eljárás eltér az általános szabályoktól, merthogy a Tanács egyhangúlag határoz [EUSz. 24. cikk (1) bek.] A közös kül- és biztonságpolitika területén egyhangú jogalkotás alól azonban a Lisszaboni Szerződés szélesebb körben kivételt enged. Minősített többség elegendő, „amikor az Európai Tanácsnak az Unió stratégiai érdekeit és célkitűzéseit meghatározó (…) határozata alapján az Unió fellépését vagy álláspontját meghatározó határozatot fogad el; amikor az Unió fellépését vagy álláspontját meghatározó határozatot az Unió külügyi és biztonságpolitikai főképviselője által benyújtott olyan javaslat alapján fogadja el, amelynek benyújtására a főképviselőt az Európai Tanács saját, vagy a főképviselő kezdeményezésére külön felkérte; amikor az Unió valamely fellépését vagy álláspontját meghatározó határozat megvalósítására vonatkozó bármilyen határozatot fogad el; amikor (…) különleges képviselőt nevez ki.” Ha a minősített többséget azonban a Tanács bármely tagja létfontosságú és meghatározott nemzeti politikai okból ellenzi, és a főképviselővel folytatott intenzív konzultáció során nem sikerül a tagállam számára elfogadható megoldásra jutni, akkor „a Tanács minősített többséggel eljárva kérheti, hogy az ügyet egyhangúlag elfogadandó határozat meghozatala érdekében terjesszék az Európai Tanács elé.” Ez nem vonatkozhat a katonai vagy védelmi vonatkozású határozatokra. [EUSz. 31. cikk (2) és (4) bek.] Jogalkotási aktusok
50
elfogadása kizárt a közös kül- és biztonságpolitika területén.
„Az Unió hatásköreinek gyakorlása érdekében az intézmények rendeleteket, irányelveket, határozatokat, ajánlásokat és véleményeket fogadnak el.” [EUMSz. 288. cikk] „A jogalkotási eljárás keretében elfogadott jogi aktusok jogalkotási aktusoknak minősülnek.” „A Szerződések által külön meghatározott esetekben jogalkotási 50
32
A KKBP keretében az EU általános iránymutatást, illetve – az Unió által végrehajtandó fellépéseire, és a képviselendő álláspontokra vonatkozó, illetve az ezek végrehajtásának szabályait meghatározó – határozatot fogadhat el. Határozat elfogadására akkor kerül sor, ha valamely nemzetközi helyzet műveleti fellépést tesz szükségessé. Ezen kívül pedig erősíti a tagállamok közötti rendszeres együttműködést politikájuk folytatásában. [EUSz. 24. cikk (1) bek., 25. cikk, 28. cikk (1) bek.]51 Az EU a tárgyalt területen egy vagy több állammal, illetve nemzetközi szervezettel nemzetközi megállapodást kötni. [EUSz. 37. cikk] A megerősített együttműködés biztosítása a rendőrségi és a bűnügyi együttműködés területén még hatékonyabb fellépést biztosít. A megerősített együttműködésben uniós tagállamok lehetnek részesek az uniós célkitűzések és az integráció előmozdításának figyelembe vételével az EU nem kizárólagos hatáskörébe tartozó területein.52 Ennek keretében az EU intézményeit is igénybe vehetik az államok. Ezen együttműködés keretében születő jogi aktusok csak az abban résztvevő tagállamokra állapíthatnak meg kötelező előírásokat. [EUSz. 20. cikk (1) és (4) bek., EUMSz. 329. cikk (1) és (2) bek.] A Lisszaboni Szerződés a közös kül- és biztonságpolitika integráns részét képező közös biztonság- és védelempolitika területén is rugalmas változásokat vezetett be. Az EU igénybe vehet polgári és katonai eszközöket „az Egyesült Nemzetek Alapokmányának alapelveivel összhangban (…) az Unión kívüli békefenntartó, konfliktusmegelőző és a nemzetközi biztonságot erősítő missziókban.” „A Tanács az Unió értékeinek védelme és érdekeinek érvényesítése céljából
egyes
misszióknak az Unió keretében történő
végrehajtásával a tagállamok egy csoportját is megbízhatja.” [EUSz. 42. cikk (1) és (5) bek.]53 Az Unió harmadik országokkal való viszonyában – amellett, hogy hozzájárul a békéhez és biztonsághoz – nemcsak az emberi jogok megsértésétől tartózkodik, hanem a jogok érvényre juttatásához szükséges pozitív lépések megtételére is kötelezettséget vállalt. [EUSz. 3. cikk (5) bek.] Az EUSz.-ben az Unió külső tevékenységére vonatkozó általános aktusok a tagállamok egy csoportjának vagy az Európai Parlamentnek a kezdeményezésére, az Európai Központi Bank ajánlására vagy a Bíróság, illetve az Európai Beruházási Bank kérelme alapján is elfogadhatók.” [EUMSz. 289. cikk (3) és (4) bek.] „Az uniós intézmények, szervek és hivatalok által az Európai Unióról szóló szerződés alapján a Lisszaboni Szerződés hatálybalépése előtt elfogadott jogi aktusok joghatása mindaddig fennmarad, amíg azokat a Szerződések alapján hatályon kívül nem helyezik, semmisnek nem nyilvánítják, vagy nem módosítják. Ugyanez vonatkozik a tagállamok között az Európai Unióról szóló szerződés alapján megkötött megállapodásokra.” [36. jegyzőkönyv átmeneti rendelkezésekről 9. cikk] 51 Már nincs lehetősége együttes fellépés és közös álláspont elfogadására, illetve a határozatok elfogadása sem általában a közös stratégia meghatározására szolgál. [korábbi EUSz. 12. cikk] 52 A Lisszaboni szerződés hatályba lépését megelőzően a megerősített együttműködés a KKBP területén elfogadott együttes fellépés és közös álláspont végrehajtására irányult. [korábbi EUSz. 27b. cikk] 53 VAN ELSUWEGE: i. m. 992-993. o., 995-997. o.
33
rendelkezései között elnevezésű címében külön is említést kap az alapjogvédelem fontossága, kiemelve az emberi méltósághoz való jogot. [EUSz. 21. cikk (1) bek., (2) bek. a) és b) pont] A közös kül- és biztonságpolitika vonatkozásában azonban nem találunk egy általános adatvédelmi szabályt, eltérően a rendőrségi és bűnügyi együttműködés területétől, ahol a kerethatározat mégiscsak valamifajta iránymutatást ad a harmadik pillér keretében megvalósuló adatkezelésekre nézve. 2001. szeptember 11-e után a nemzetközi biztonság erősítése kiemelt szerephez jutott, ennek folyományaként sok korlátozó intézkedés került bevezetésre anélkül, hogy az alapjogok átfogó szabályozása az uniós jog ezen pillérében is megtörtént volna. Probléma az is, hogy az egyes, alapjogot korlátozó intézkedéseket bevezető szabályok sem nagyon tartalmaztak garanciális szabályokat, bár az utóbbi időben elfogadott jogszabályok már rendelkeznek bizonyos körben az adatvédelemről. A közös kül- és biztonságpolitika területén is születnek olyan aktusok, amelyek az egyes személyek vagy szervezetek magánéletébe beavatkoznak anélkül, hogy megfelelő jogi garanciák le lennének fektetve. A Tanács a terrorizmus leküzdéséről szóló 2001/930/KKBP közös álláspont 1-8. cikkében olyan magatartásokat határoz meg, melyeket a tagállamoknak büntetni, szankcionálni kell. Ezen túl pedig az együttműködés fontosságára, az adatok és információk cserjének hatékonyságára és egyéb eljárási jellegű célt fogalmaz meg. Az alapvető probléma talán ott kezdődik, hogy mit is jelent a terrorizmus? Merthogy ennek meghatározására nem kerít sort. Arról nem is beszélve, hogy a közös álláspont a közösségi jog és a rendőrségi együttműködés területére tartozó szabályokat tartalmaz. Kérdés azonban, hogy azzal, hogy második pillérbeli aktussal fogadták el ezen intézkedéseket, ki lehet-e bújni az első pillérben érvényesülő bírósági jogvédelem alól? A rendőrségi együttműködésre vonatkozó szabályok jogi kötőerővel bírnak vagy azok tekintetében kerethatározat kellene elfogadni azért, hogy „kikényszeríthetők” legyenek? A terrorizmus leküzdésére vonatkozó különös intézkedések alkalmazásáról szóló 2001/930/KKBP közös álláspont – megismételve a terrorizmus leküzdéséről szóló kerethatározat, meghatározza a terrorizmus fogalmát – továbbmegy a korábbi közös állásponthoz képest, amikor személyekről, csoportokról és szervezetekről egy listát készít, akiket és amelyeket a korlátozások érintenek. Ezen közös álláspont tekintetében is elmondható, hogy nem esik esetleg ezen megközelítés a büntetőjogi szabályok harmonizációja alá? Másrészről pedig vitás annak megítélése, hogy a második pillér
34
keretében elfogadott közös álláspont – mivel az nem alkalmazandó közvetlenül a tagállamoknak – nem esik a Strasbourgi Bíróság esetjoga szerint jogvédelem alá.54 Így az Unió – az ENSZ terroristaellenes határozatát55 követően – összeállította a saját „feketelistáját” a terrorista személyekről és szervezetekről, amely semmilyen utalást nem tartalmazott a személyes adatok védelmére vonatkozóan. Ennek kapcsán azonban az Európai Bíróság nem állapított meg jogsértést. Ez az eset is jól mutatja, hogy az uniós intézkedéseknek komoly korlátozó ereje van az egyénekre nézve, anélkül, hogy alapvető követelmények
biztosítékként
deklarálásra
kerültek
volna. Az
uniós
jogalkotáson
végigtekintve azonban megfigyelhető, hogy a második pillérben is egyre inkább figyelembe veszik az adatvédelem követelményét. Jóllehet az imént említett, az Oszama bin Ladennel, az Al-Kaida hálózattal és a Tálibánnal összeköttetésben álló egyes személyekkel és szervezetekkel
szemben
meghatározott
szigorító
intézkedések
bevezetéséről
szóló
881/2002/EK tanácsi rendelet56 egyáltalán nem tartalmazott adatvédelmi rendelkezéseket, a Bíróság kezdte felismerte az adatvédelmi alapelvek jelentőségét, de mindezt először csak implicite fogalmazta meg. (Hassan-ügy)57 Az EJEB arra hivatkozással, hogy az ENSZ közös álláspontján nyugodtak ezen intézkedések, azok felülvizsgálatát elutasította. Így tett az Ayadiügyben, a Minin és a Basque-ügyben is. Ez az álláspont, amely az alapjog tartalmi felülvizsgálatát elutasította, súlyosan sértheti a személyes adatok védelméhez való jogot. A Sison-ügyben azonban az EJEB elsőfoka megállapította, hogy az a döntés, mely a felperest megjelenítette a listán sérti az alapvető jogait, ezért azt megsemmisítette. megállapította továbbá azt is, hogy a védelemhez való joga is sérült.58 Végül az uniós intézmények már kifejezetten meg is követelnek bizonyos adatvédelmi előírásokat, így példának kedvéért az adatokhoz való hozzáférés elvét, a tájékoztatáshoz való jogot [45/2001/EK rendelet], az adatkezelésről szóló információadás jogát [OMPI Case T284/08], a pontosság és az adatok naprakészségének követelményét [C-229/05], a felelősség elvét [45/2001/EK rendelet 32. cikk] és a jogorvoslathoz való jogot. [45/2001/EK rendelet 32. cikk]59 A Lisszaboni Szerződéssel bekerült az Európai Unióról szóló szerződésbe arra vonatkozó kötelezettségvállalás, hogy a természetes személyek személyes adatainak, e DOUGLAS-SCOTT, Sionaidh: The rule of law in the European Union – putting the security into the „area odf freedom, security and justice”, In: European Law Review, Vol. 29. No. 2., 2004. April, 232-233. o. 55 1373 (2001) rendelet 56 2003 novemberében ez a lista a 2049/2003/EK rendelettel még bővült is. 57 HIELKE – ALFONSO: i. m. 1497-1498., 1508-1509. o. 58 LANG: i.m. 273-274. o. 59 HIELKE – ALFONSO: i. m. 1509-1512. o. 54
35
területre eső tevékenysége körében a tagállamok által végzett feldolgozása során érvényesíteni kívánt adatvédelmi szabályokról határozatot fognak elfogadni, illetve az ilyen adatok
szabad
áramlására
vonatkozó
szabályokat
határozatban
állapítják
meg.
[EUSz. 39. cikk, EUMSz. 16. cikk (2) bek.]
2.2.2.3.4. A legújabb kori változások az adatvédelem területén – a Lisszaboni Szerződés Intézményi változások
A Lisszaboni Szerződés az Európai Közösség Bíróságát átnevezte, hiszen az EU Bíróságáról beszél, amely nemcsak egy elnevezésbeli változást jelenti, hanem jelzi azt is, hogy az Európai Unió Bírósága nemcsak a közösségi jog területén rendelkezik ítélkezési és jogértelmezési hatáskörrel, hanem az EU (szinte) valamennyi területén. Ezen módosításnak egyébként már az Amszterdami Szerződéssel meg kellett volna történnie, amikor a Bíróságnak a harmadik pillér területének bizonyos részére is kiterjesztették a ítélkezési jogosultságát. A Bíróság maga értelmezi hatáskörének kereteit, így az alapszerződésekben lefektetett szabályok keretei között meghatározza saját ítélkezési területét. Az értelmezését továbbá azon elv határolja be, miszerint az EU csak a tagállamok által az Unióra átruházott hatáskörben járhat el, így a tagállamoktól hatáskört nem vonhat el. A Lisszaboni Szerződés azzal, hogy megszüntette a pillérrendszert, a Bíróság kompetenciája is kiszélesítette, hiszen a Bíróság főszabályként az Unió valamennyi területén valamennyi uniós intézményre, szervre és ügynökségre nézve ítéletet hozhat, annak tevékenységével szemben kontrollként működik. Ezen általános megállapítás alól a közös kül- és biztonságpolitika területén az Európai Unióról szóló szerződés 24. cikke kiveszi az Európai Tanács, a Tanács, az EU külügyi és biztonságpolitikai főbiztosságának döntéseit és az Európai Tanács és a Tanács egyéb aktusait a bírósági jogorvoslás alól. A bírósági kontroll hiánya bizonyos esetekben problémás lehet, hiszen ezen a területen is számos olyan intézkedés történik, amely bizonyos személyek vagy azok csoportját hátrányosan érintik. Ebben az esetben véleményem szerint a szerződésen kívüli felelősség alapján lehet az emberi jogok védelme érdekében és a nemzetközi büntetőjogi kérdések tisztázása érdekében bírói fórumhoz fordulni. Az EU Bíróságnak a kontrollszerepe az EU működéséről szóló szerződés 245. cikke alapján a KKBP két részterületén továbbra is érvényesül. Így a Bíróság a természetes és jogi 36
személlyel, csoporttal szemben vagy nem állami entitással szemben foganatosított megszorító intézkedés jogszerűségét megítélheti, ahogy ez történt a Kadi-ügyben. Másrészről az Unió Bírósága továbbá abban a kérdésben is dönthet, hogy az adott ügy a közös kül- és biztonságpolitika területére vagy azon kívül esik-e. [EUSz. 24. cikk (1) bek., 40. cikk] A szabadság, biztonság és jog térsége keretében születő aktusok a bírói felülvizsgálat által korlátozottak, ideértve az ennek a keretében működő szerveket, mint az Europolt vagy az Eurojustot. A szabadság, biztonság és jog térsége tekintetében két kivétel van a bírói kontroll alól. A Bíróság nem jogosult vizsgálni a rendőri és más szervek intézkedésének érvényességét és arányosságát, valamint az átmeneti intézkedéseket.60
Alapjogi változások
A 2007. december 13-án aláírt, de csak 2009. december 1-jén hatályba lépett Lisszaboni Szerződés az alapjogvédelem területén is számos változást hozott. A Lisszaboni Szerződés eltörölte a pillérrendszert. Lehetséges-e, hogy az irányelv módosításával a második két – korábbi – pillérre is kiterjessze az Unió annak hatályát? A Lisszaboni Szerződés az Alapjogi Chartát jogi kötőerővel ruházta fel, és ezzel az EU jogának integráns részévé emelte explicite is annak tartalmát, de nem tette a szövegét a saját részévé.61 Az Alapjogi Charta rendelkezéseit azonban nem kell alkalmazni Lengyelország és az Egyesült Királyság esetében. Így az EU Bírósága és a tagállami hatóságok sem érvényesítik e két országgal szemben a Chartában foglalt alapvető jogokat és elveket, amíg a nemzeti jogban nem tisztázzák a Charta alkalmazásának egyes szempontjait.62 Jóllehet a Charta az uniós jog részévé vált, és kötelezően alkalmazandó, de nem lehet feltétlenül azt mondani, hogy közvetlen hatállyal bír. Jóllehet a jegyzőkönyv 1. cikke csak azt tiltja meg, hogy a nemzeti bíróságok a belső jog összhangját vizsgálják a Charta rendelkezéseivel, de azt nem, hogy a nemzeti jogot a Chartának megfelelően értelmezzék. Ebben a tekintetben viszont a Charta közvetlen hatályáról beszélhetünk.63 Jóllehet a bírói jogvédelem területén jelentős előrelépés történt a Lisszaboni Szerződés elfogadásával és az Alapjogi Charta kötelező erejének elismerésével, ugyanakkor az egyéni és BARENTS, René: The Court of Justice after the Treaty of Lisbon, In: Common Market Law Review, Vol. 47. 2010, 715-719. o. 61 NINO: i. m., 70. o. 62 30. jegyzőkönyv az Európai Unió Alapjogi Chartájának Lengyelországra és az Egyesült Királyságra történő alkalmazásáról 1. cikk (1) bek. 63 BARENTS: i. m., 721. o. 60
37
közvetlen érintettség hiányára hivatkozva a Bíróság nagyon gyakran elutasítja a kérelmeket. Jóllehet az Alapjogi Charta is deklarálja a hatékony jogorvoslathoz való jogot és a tisztességes eljáráshoz való jogot.64 A Charta 8. cikke kifejezetten tartalmazza a személyes adatok védelméhez való jogot. Ez a rendelkezés önálló jogként definiálja a személyes adatok védelméhez való jogot, míg a magánszféra védelmét a 7. cikk tartalmazza, amely lényegében megegyezik az EJEE 8. cikkével: a levelezés szót cserélte csak fel a Charta a kommunikáció fogalmára, így a modernebb kapcsolattartási formák is a magánszférához való jog fogalma alá tartoznak. A Charta 8. cikkében deklarált adatvédelemhez való jognak különös a jelentősége: az Unió jogában először deklarálják kifejezetten ezt az alapjogot, mint a magánélethez való jog egy aspektusát.65 A Charta kimondja, hogy ugyanúgy kell rendelkezéseit értelmezni, mint az Egyezményben meghatározott jogot. Az EJEE azonban nem deklarálja kifejezetten a személyes adatok védelméhez való jogot, így kérdéses, hogy az EJEE-ben rögzített magánszférához való jog átfogja-e a személyes adatok védelméhez való jogot, vagy ez utóbbi ahhoz képest tágabb kört ölel fel. Végül pedig szót kell ejteni arról az alapjog-korlátozási lehetőségről, amely lehetővé teszi, hogy törvény a személyes adatok védelméhez való jogot korlátozza, de annak lényegi tartalmát nem sértheti. A jogkorlátozásnak nemcsak szükségesnek kell lennie, hanem arányban is kell állnia az elérni kívánt céllal. A korlátozási okok három csoportba oszthatók: az EJEE-ben rögzített jogok védelme érdekében, az EK vagy EU Szerződésben rögzített, illetve egyéb a Chartában rögzített jogok védelme érdekében.66 Az Emberi Jogok Európai Egyezményéhez való csatlakozás nemcsak annak elveinek elfogadását jelenti, hanem az uniós igazságszolgáltatás átalakulását, azaz az alapjogi szemlélet megerősítését. Ezzel a lépéssel az Uniónak is lett egy teljes alapjogi katalógusa. [EUSz. 6. cikk (1) bek.]67 A Lisszaboni Szerződés hatályba lépését megelőzően az
64
BARENTS: i.m. 723. o. NINO: i. m., 69-70. o. 66 COMANS: i.m., 79-82. o. 67 DOUGHAN: i. m. 671. o. 65
38
Egyezmény csak ún. soft law-ként érvényesült, nem volt jogilag kötelező az Unióra nézve, de mindig is áthatotta az Unió jogalkotását és igazságszolgáltatását.68 Az EU a Lisszaboni Szerződéssel csatlakozott ugyan az Emberi Jogok Európai Egyezményéhez is. Az EJEE-hez való csatlakozás és annak alkalmazása során azonban meg kell őrizni az EU és az uniós jog jellegzetességeit, így a csatlakozás nem érintheti az egyes intézmények hatáskörét. Az EU Bíróságához az egyén akkor fordulhat, ha közvetlenül és személyében érintett. Ez a kitétel azonban a hatékony jogorvoslathoz való jog garanciális követelményét nem tudja teljes körűen biztosítani. Az EU Bíróságának gyakorlata szerint a közvetlen érintettség akkor áll fenn, ha a jogi helyzetét az intézkedés oly módon érinti, hogy az meghatározott és azonnali jogkorlátozással vagy egyéb kötelezettséggel jár. Az alapszerződések szintjén a problémára az EUMSz tett pontot, amikor rögzítette, hogy a Bíróság hatáskörrel rendelkezik a jogalkotási aktusok, a Tanács, a Bizottság és az EKB jogi aktusainak – kivéve a véleményt, illetve az ajánlást – és az Európai Parlament és az Európai Tanács által, illetve más uniós szervek, hivatalok által elfogadott, harmadik személy vonatkozásában joghatással járó aktusok jogszerűségi felülvizsgálatára. Bármely természetes, illetve jogi személy a neki címzett, illetve az őt közvetlenül és személyében érintő jogi aktusokkal szemben keresettel fordulhat a Bírósághoz. [EUMSz. 263. cikk]69 A Bíróság hatáskörrel rendelkezik a jogalkotási aktusok, a Tanács, a Bizottság és az EKB jogi aktusainak – kivéve a véleményt, illetve az ajánlást – és az Európai Parlament és az Európai Tanács által, illetve más uniós szervek, hivatalok által elfogadott, harmadik személy vonatkozásában joghatással járó aktusok jogszerűségi felülvizsgálatára. Bármely természetes, illetve jogi személy a neki címzett, illetve az őt közvetlenül és személyében érintő jogi aktusokkal szemben keresettel fordulhat a Bírósághoz. [EUMSz. 263. cikk] A bírói felülvizsgálat az EKSz.-hez képest annyiban bővült, hogy valamennyi jogalkotási aktussal szemben helye van bírói felülvizsgálatnak, illetve
valamennyi uniós szerv, hivatal által
elfogadott, harmadik személy vonatkozásában joghatással járó aktusok jogszerűségi felülvizsgálatának. [EKSz. 230. cikk] Ez alapján az Europol vagy az Eurojust döntésével szemben is az EU Bírósághoz lehet fordulni. A Bíróság hatáskörének kibővítése azonban nem teljes körű, hiszen a KKBP területén bizonyos kivételekkel kizárt a bírói felülvizsgálat. Ennek
O’ NEILL, Maria: The Issue of data Protection and data Security inthe (Pre-Lisbon) EU Third Pillar, In: Journal of Contemporary European Research. Vol. 6., Issue 2., 216. o. 69 BARENTS: i. m., 722-724. o. 68
39
egyik oka a bírói aktivizmustól való félelem. Ezt a közös kül- és biztonságpolitika területén születő döntések jellege is indokolja, hiszen ezek a döntések leginkább politikai és nem jogi aktusok. Az előbbiek felülvizsgálatára pedig a Bíróság hatásköre nem terjed ki. [OMPI-ügy, EUMSz. 275. cikk] A politikai jelleg azonban nem jelenti azt, hogy ne lenne ezeknek jogi hatásuk, éppen ebből kifolyólag enged kivételeket a szabályozás.70 Az alapjogvédelem területén az EJEB is fontos szerephez jut. Az EJEB jogosult az egyezmény betartásának teljes kontrollálására, így alapjogi szempontból az EU Bíróság döntésének felülvizsgálatára is. A Bíróság felett tehát kvázi fellebbviteli bíróságként fog funkcionálni az EJEB, amelyhez csak akkor lehet fordulni, ha a hazai és az uniós jogorvoslati fórumokat kimerítette az érintett személy. Az EJEB ezen tevékenysége hozzájárul a koherens alapjogvédelemhez. Az egyensúly a számos pozitív lépés ellenére még mindig a biztonság felé hajlik a jogok rovására. Ahhoz, hogy az egyensúly helyreálljon mindenképpen szükséges lenne eljárási jogok katalógusának megszövegezése és a betartás kikényszerítése.
Erre már
kifejezett utalást találunk az Európai Unió működéséről szóló szerződésben. [EUMSz. 82. cikk (2) bek. b)-d) pont] A kölcsönös elismerés elvének mind szélesebb körű alkalmazása nem elegendő, mert a tagállamok között a kölcsönös bizalom még mindig nem maradéktalan. A bizalom azonban növekedne, ha uniós szinten lefektetnék a minimális eljárási garanciákat.71 Az államok közötti bizalom erősödéséhez vezetne, ha a jogalkotás folyamatába az illetékes nemzeti szervek is be lennének vonva, és így már az aktus elfogadása előtt megteremtődne az a konszenzus, amely a közösségi jogi jogforrás érvényesüléséhez elengedhetetlen.72 Véleményem szerint az adatvédelem elégséges szintű biztosításához is a pillérrendszer megszüntetése megfelelő kiindulópont lehet, hiszen amint fent láthattuk az alapvető hiányosságok és félreértések a hármas pillér meghatározásából származtathatók. A Lisszaboni Szerződés hatályba lépésével felmerülő felülvizsgálat azt is biztosítja, hogy a szétaprózott szabályrendszer helyett egy egységes és hatékonyabb joganyagot fogadjanak el. Csak az Európai Unió működéséről szóló szerződés új, 16. cikke mondja ki, hogy mindenkinek joga van a személyes adatainak védelméhez. Az adatvédelmi deklaráció a szerződés második címében, az általánosan alkalmazandó rendelkezések között kapott helyet, amely jelzi annak 70
VAN ELSUWEGE: i. m. 999-1001. o., 1005. o. o RIJKEN: i. m. 1488-1489. o., 1491. o. DOUGLAS-SCOTT: i. m., 241. o. 72 BELLANOVA, Rocco: The „Prüm Process”: The Way Forward for EU Police Cooperation and Data Exchange, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 204. o. 71
40
jelentőségét. A személyes adatokhoz fűződő jogot minden eljárásban szem előtt kell tartani, és annak érvényesülését lehető legszélesebb körben biztosítani kell. Előírja a rendelkezés azt is, hogy az Európai Parlament és a Tanács a rendes jogalkotási eljárás keretében köteles az alapvető adatvédelmi szabályokat lefektetni az uniós intézmények és a tagállamok általi azon adatkezelésekre vonatkozóan, amelyek az uniós jog területére esnek, és amelyeket az adatok szabad áramlása érint. Ezen szabályoknak a betartását egy független hatóságnak kell ellenőriznie. Speciális szabály hiányában azonban az egyének az Európai Unió működéséről szóló szerződés 16. cikkére hivatkozhatnak. Vitatott azonban, hogy az adatvédelemi deklaráció közvetlen hatállyal bír-e. Ennek megítéléséhez több körülmény mérlegelése szükséges. A közvetlen hatályú érvényesülés melletti érv, hogy ezen alapjog kifejezése hasonlóan történt más, közvetlen hatállyal bíró joghoz (pl. a szabad mozgás és tartózkodás jogához). Ezt a megállapítást erősíti az is, hogy a Lisszaboni Szerződés az Európai Unió Alapjogi Chartáját jogilag kötelező szövegnek ismeri el, jóllehet az nem lett a Szerződés része. A Charta ugyanolyan kötőerővel bír, mint a szerződések. Az Unió elismeri és biztosítja az abban foglalt jogokat, szabadságokat és elveket. Harmadrészt pedig a deklaráció elhelyezése is jelzi, hogy az Unió kiemelt szerepet szán ennek az alapjognak. Jóllehet vitatható, hogy ezen alapjogot kibontó szabály hiányában is – mint ahogy erre a Szerződés előírása folytán sor kellene, hogy kerüljön – a Bíróság megállapítja-e majd a jogsértést. Az azonban bizonyos, hogy az uniós jogalkotó jövőbeli mozgásterét behatárolja ez a deklaráció.73 A Chartában foglalt elvek kötik az Unió intézményein, szervein és hivatalain kívül a tagállamokat is, amennyiben uniós jogot hajtanak végre.74 [Alapjogi Charta 51. cikk (1) bek.] Ezt erősíti a bírósági gyakorlat is. [Wachauf-ügy, ERT-ügy, Annibaldi-ügy] A tagállamoknak minden szervét köti, ha uniós jogot alkalmaz.75 Az Európai Unióról szóló szerződés minden tagállamra kötelezően előírja, hogy „az alapvető jogok, ahogyan azokat az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény
biztosítja,
továbbá
ahogyan
azok
a
tagállamok
közös
alkotmányos
hagyományaiból következnek, az uniós jogrend részét képezik mint annak általános elvei.” [EUSz. 6. cikk (3) bek.] Így az adatkezelés során is kötelesek a törvényesség követelményét betartani.76 Szükséges az Alapjogi Charta és az EJEE egymáshoz való viszonyának tisztázása, amelyet az értelmezési szabály rögzít is, amely szerint az Alapjogi Charta nem biztosíthat HIELKE – ALFONSO: i. m. 1514-1515. o., 1517-1518. o., 1520. o. Az Unió intézményeit a Szerződések határozzák meg, míg a szerv és hivatal fogalma a Szerződések és másodlagos jogforrások által létrehozott valamennyi fórumot jelenti. [Magyarázatok az Alapjogi Chartához] 75 Magyarázatok az Alapjogi Chartához 51. cikk 76 RIJKEN: i. m. 1478. o. 73 74
41
alacsonyabb védelmet az egyezményben meghatározottnál. Természetesen ide kell azt is érteni, hogy az EU Bíróságának is legalább akkora védelmet kell biztosítani, mint az EJEBnek.77 A Chartában deklarált jogoknak, elveknek azonban szükséges lenne a kibontása.78 A deklarált jogok és szabadságok természetesen nem korlátozhatatlanok, de csak törvénnyel és lényeges tartalmuknak tiszteletben tartásával és a szükségesség és arányosság elvére tekintettel történhet. „Korlátozásukra csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.” [Alapjogi Charta 52. cikk (1) bek.] További kérdés, hogy a Tanácsra és az Európai Parlamentre milyen jogalkotási kötelezettség hárul, hiszen a Szerződés előírja, hogy a személyes adatok védelméhez való joggal kapcsolatban fektesse le a szükséges szabályokat. Kell-e a 95/46/EK irányelv helyett másik szabályt alkotniuk? Hiszen ez az irányelv a két uniós szerv együttdöntésével született, ugyanakkor a Szerződés kötelezése időben jóval későbbi, mint az irányelv elfogadása. Más a helyzet a rendőrségi és bűnügyi együttműködés esetében. Hiszen az itt meglévő 2008/977/IB kerethatározat nem a jelenleg előírt eljárásnak megfelelően született, mert abban a Parlament nem vett részt. Tehát ez a kerethatározat az előírt kritériumoknak nem felel meg. A korábbi második pillérben pedig nincs is az adatvédelemre vonatkozó szabály, így ez a kötelezettség mindenképpen fennáll a közös kül- és biztonságpolitikára vonatkozóan. Ez esetben azonban az EP nem rendelkezik együttdöntési jogosultsággal. Probléma azonban, hogy nincs meghatározva az időpont, amíg az Európai Parlamentnek és a Tanácsnak eleget kellene tennie a jogalkotási kötelezettségnek, és úgyszintén nincsen „szankció” a kötelezettség elmulasztása esetére. Az egységes jogalkotási eljárás annak is megágyaz, hogy a közösségi jog keretei közé tartozó menekültpolitika, vízumpolitika, vám- és határellenőrzési rendszer a rendőrségi és bűnügyi együttműködés rendszeréhez közeledjen. A Kadi-ügyben a Bíróság lefektette azt, hogy az uniós állampolgárokkal szemben alkalmazott intézkedések során figyelemmel kell lenni az alapvető jogokra. Ennek a megállapításnak már csak azért is jelentősége lehet, mert a hiányos védelmi szabályokból kifolyólag jogforrásul, de legalábbis útmutatóul szolgálhat a jogalkalmazók számára.79
Magyarázatok az Alapjogi Chartához 52. cikk RIJKEN: i. m. 1478. o. 79 HIELKE – ALFONSO: i. m., 1509. o. 77 78
42
2.2.2.3.5. Az Európai Unió Bíróságának gyakorlata Az Európai Unió Bírósága gyakorlata szerint az alapvető jogok az általános jogelvek integráns részét képezik, amelyeknek a tartamát a közös európai hagyományok és a tagállamok által kidolgozott és aláírt nemzetközi szerződések adják. Az 1950. évi emberi jogok és alapvető szabadságok védelméről szóló egyezmény is ilyen szerződésnek tekinthető. [Hoechst v. Commission (HL C 266.,1989. 10. 18., 7. o.) Para. 13.] Az egyes alapvető jogok uniós jogban való érvényesülése kapcsán azt kell vizsgálni, hogy a hivatkozott alapvető jog a tagállamok jogában megjelenik-e. „Az otthon sérthetetlensége” valamennyi tagállam jogában megjelenik, ugyanakkor ezen alapvető jog korlátozására ez már nem igaz, hiszen az egyes jogrendszerek között nem elhanyagolható eltérések mutatkoznak abban a tekintetben, hogy a védelem természetét és mértékét milyen módon biztosítják. [Hoechst v. Commission (HL C 266.,1989. 10. 18., 7. o.) Para. 17.] Az EU Bírósága az EJEE magánszférához való jogát deklaráló rendelkezésére és az EJEB esetjogára is támaszkodott. Ezen alapvető jog tekintetében megállapította, hogy a magánszférához való jog kiterjedhet a munkahelyre is. Ezen túl megállapította, hogy az egyes államokban a hatóságok általi természetes és jogi személy életébe történő beavatkozás is érinti a privátélethez fűződő jogot. Ennek kereteit ezért törvényben kell lefektetni, hiszen az véd az önkényes és aránytalan beavatkozástól. „Ez a fajta védelem a közösségi jogban általános elvként kell, hogy érvényesüljön.” [Hoechst v. Commission (HL C 266.,1989. 10. 18., 7. o.) Para. 18-19.] Az EU Bírósága által hozott ítéletek végrehajtása még mindig kívánnivalót hagy maga után, jóllehet a Lisszaboni Szerződés lehetővé teszi azon tagállam bírságolását, amelyik nem hajtja végre az ítéletben foglaltakat, és ehhez nem kell már a Bizottság indokolt véleménye sem.80
2.2.2.3.6. Részmegállapítások Az irányelv és a kerethatározat is rögzíti ugyan a célhoz kötöttség elvét, ugyanakkor a kerethatározat a célhoz kötöttség elvét le is rontja akkor, amikor kimondja, hogy az adatkezelés eredeti céljától eltérő egyéb célra is lehet kezelni a személyes adatot, azaz 93 ha egy tagállam meghatározott célból továbbított személyes adatot vagy az érintett személy hozzájárulásán alapul az adattovábbítás, az eredetileg meghatározott célhoz képest eltérő célra 80
BARENTS: i.m., 724.o.
43
is felhasználhatja a címzett állam az adatot. Nemcsak, hogy a végső cél eltér ebben az esetben az eredeti adatkezelési céltól, de az érintett személy önrendelkezési jogát is felülírhatja egy állam. A célhoz kötöttség elvével a kerethatározat ezen rendelkezése nincsen összhangban, amelyet az 1981-es adatvédelmi egyezmény is rögzít. Ezzel szoros összefüggésben van az adatkezelés időtartamának egzakt meghatározása. A megfelelőségi kritériumot szintén mindkét tárgyalt uniós dokumentum rögzíti. Az irányelv meghatározott körben enged ez alól kivételt, a kerethatározat azonban széles lehetőséget ad a derogációra. A harmadik állam irányába történő továbbításhoz három feltételt kell megvizsgálnia, ezek közül egyik a megfelelő védelem teljesülése. Másrészt az adattovábbítás szükségességét, harmadrészt pedig az adattovábbító állam hozzájárulása kell. Ezen feltételrendszer teljesülése hiányában is azonban továbbítható a személyes adat, ha az érintett személy érdeke vagy közérdek indokolja, illetve akkor is, ha a harmadik állam vagy fél biztosítékot nyújt. A kerethatározatban rendezni kellene azt, hogy a harmadik állam meghatározott hatóság részére továbbított adatot, ki és milyen feltételekkel használhatja fel, addig a célhoz kötöttség elve és a korlátozott felhasználás elve nem tud érvényesülni. És ha az EU-USA vagy az Europol-USA megállapodás fog példaként szolgálni a szerződő államoknak, akkor az 1981-es egyezmény garanciái kiüresednek. Megállapítható, hogy a két adatvédelmi szabályozás lényeges elemeiben különbözik egymástól, ugyanakkor ezen inkonzisztenciák nem kerülnek megfelelő alátámasztásra, azokat az adatkezelések eltérő területe nem támasztja alá. Ennélfogva egyik jogforrás sem tud általános érvénnyel érvényesülni.81 A Lisszaboni Szerződés hatályba lépésével az EU-nak is lett egy alapjogi katalógusa. A Charta rendelkezései az EJEE deklarációihoz képest szélesebb körű katalógusát adják az alapvető jogoknak. A garanciák kapcsán külön kiemelést érdemel az adatkezelések független felügyelet, mely a jogszerűségért és a jogvédelemért felelős. Erősödött az EU Bíróságának szerepe az alapjogi megítélés tekintetében, ideértve különösen a szabadság, a biztonság és a jog térségét is. Az EU Bírósága a jövőben számíthat arra, hogy a tagállamok hatóságai előzetes döntéshozatali kérdéssel fordulnak hozzá alapjogi
81
DE BUSSER: i. m., 94-95., 100. o.
44
problémák vonatkozásában. Ezek az ügyek pedig sokkal hangsúlyosabbak lehetnek mind a gazdaságiak.72582
2.2.4. Az angolszász szabályozás A témánk szempontjából elengedhetetlennek tartom, hogy az angolszász jogrendszer szabályait, így különösen az Amerikai Egyesült Államok releváns adatvédelmi szabályait áttekintsük. Az adatvédelem kérdésköre államok között viszonyban azért jelent különösen problémát, mert ezen alapvető jog megközelítésében eltérő nézetek léteznek. Az Amerikai Egyesült Államok adatvédelmi szabályozásának áttekintéséhez a privacy fogalmának tisztázása szükséges. A privacy fogalmának az USA jogtörténetében hagyománya van. „A privacy azt a képességet jelenti, hogy az egyén képes önmagát megkülönböztetni másoktól.” Ennek azonban további oldalai vannak, így „a testi privacy, a személyes helyek és a megfigyelés, a kommunikáció privacy-je.” „Privacynek az a képesség tekinthető, hogy fenntartható olyan autonóm zóna, amely ellenőrzéstől mentes, azért, hogy mindenki saját maga rendelkezhessen a személyükhöz kötődő adatokról.” A privacynek tehát csak egy szeletét jelenti az adatvédelem. Az USA módosított Freedom of Information Act-jében (FOIA) és Privacy Act-jében (1974) és az Ausztrál Szövetségi Privacy Act-ben (1988) a privacy viszont kizárólag az információs privacyt jelenti.83 A Privacy Act hatálya azonban nem terjed ki a magánszektor adatkezelésére.84 A Privacy Acten kívül egyéb szektor-specifikus szabályok is léteznek, azaz a szabályozás fragmentált jellegű. Nem létezik szövetségi szinten olyan szerv, amely az adatvédelmi szabályok felügyeletét végezné. Az adatvédelmi elvek meghatározása hiányos, inkább a jogorvoslati lehetőség biztosít védelmet a túlzott beavatkozással szemben, míg Európában az személyes adatok kezelését a szabályozás igyekszik leszorítani a lehető legszűkebb körre. 85 Ezen kívül továbbá az egyes szervek és szervezetek saját szabályzatokat, regulákat fogadhatnak el. A szövetségi szabályokon túl az egyes államoknak 82
BARENTS: i. m., 725. o. HAILBRONNER, Kay – PAPAKONSTANTIONOU, Vagelis – KAU, Marcel: The Agreement on PassengerData Transfer (PNR) and the EU_US Cooperation in Data Communication, In: International Migration Vol. 46. Issue 2. 2008, 44. o. 84 VANWAASSHNOVA, Matthew R.: Data Protection Conflicts Between the United States and the European Union in the War on Terror: Lessons Learned from the Existing System of Financial Information Exchange, In: Case Western Reserve Journal of International Law, 2007/2008, Vol. 39 Issue 3, 831. o. 85 HAILBRONNER – PAPAKONSTANTIONOU – KAU: i.m., 194. o. 83
45
Mivel a fentiekben leírtak szerint az USA joganyaga nem tartalmazott átfogó adatvédelmi garanciákat, ezért az Unió szempontjából nem biztosított megfelelő védelmet. 2000 novemberében fogadta el az amerikai kongresszus a Safe Harbour-elveket, amelyek azonban csak a magánjogi jogviszonyokban írt elő adatvédelmi szabályokat.86 A Safe Harbour elvek alapján az amerikai vállalkozások önkéntes alapon az uniós elveket magukra nézve kötelezőnek ismerhetik el, ugyanakkor az uniós tagállamok és az uniós szervek nem továbbíthatnak adatot harmadik állam részére, amely az irányelv értelmében nem biztosít megfelelő védelmet.87 Az USA Alkotmánya nem tartalmazott kifejezett rendelkezést a privacy-re, illetve így az adatvédelemre sem. Csak a 4. alkotmánymódosítás vezette be a magánszféra közvetlen védelmét. Ez kimondta, hogy a személyek, lakások, dokumentumok és tulajdon védelmét indokolatlan kutakodás és lefoglalással szemben. Az 1928. évi Omstead v. USA- ügyben a Supreme Court ítéletét már a 4. alkotmánymódosításra alapozta. Ebben az ítéletében a Bíróság két elemét emelte ki ezen alapjognak: a személyes adatok nyilvánosságra hozatalának elkerülésének fontosságát, illetve a függetlenség és az önrendelkezés követelményét személyes ügyekben. A Suprme Court lefektette, hogy az állami beavatkozással szemben az alkotmányos előírás ott véd, ahol egy embernek megalapozott várakozása lehet a privátéletre. Ennek megfelelően sérti az állami beavatkozás a privacy-t, ha az alapos nélkül avatkozik be az emberek magánéletébe. 88 Az Amerikai Legfelsőbb Bíróság értelmezése szerint a kormányzat akkor sérti meg az Alkotmány rendelkezését, ha az egyén „privacyra irányuló, ésszerű várakozását” megsérti. [Katz v. United States 389 U. S. 347, 361 (1967)] A Supreme Court az esetjoga keretében kialakította a privacy speciális területeinek is a védelmét. Az érintett személynek azonban a várakozása mindig szubjektív lehet, az „ésszerű várakozás” követelményének azonban a társadalomban elfogadott objektív kategóriának kell lennie, így pénzügyi információnak bank felé történő továbbítása nem sérti az Alkotmány 4. módosítását. [United States v. Miller 425 U. S.(1998?)]89 Összességében az amerikai alkotmányvédelemről annyit kell megállapítani, hogy az nagyon szűk és speciális védelmet biztosít csak a privátszféra vonatkozásában, annak átfogó védelme nem fejlődött ki az alkotmányértelmezés során. Az adatvédelem és különösen az 86
VANWAASSHNOVA: i. m., 832. o. SIEMEN: i. m., 634. o. 88 GENZ: i. m., 44-45.o. 89 SANTOLLI: i. m., 575. o. 87
46
információs önrendelkezési jog biztosításának átfogó keretei hiányoznak a Supreme Court gyakorlatából. Az információs önrendelkezési jog, mint a személyes adatok védelméhez való jog egyik oldala A magánélethez való jog kapcsán további hiányosság, hogy a beavatkozással szembeni védelem az érintett állampolgárt kizárólag az állammal szemben illeti meg, egyébkánt más adatkezelővel szembeni a védelem nem vezethető le az Alkotmányból. 90 Az Alkotmány adja valamennyi jogszabály alapját az USA-ban. Az amerikai jogalkotás kétszintű: létezik a föderális és a tagállami jogalkotás. Az alkotmányi alapokon a további alapvető adatkezelési szabályokat a föderális törvények határozzák meg. Az így alkotott törvények sokfélék, de azok két csoportba sorolhatók: az állami és a privátszektor általi adatkezelések szabályaira. Az állami szervek általi személyes adatkezelésekre sincsen egy átfogó szabályozás, azt több törvény rendezi, így a szabályozás fragmentált jellegű. Ebből a sokféleségből néhány, a téma szempontjából jelentős rendelkezést emelek ki. Az 1974. évi Privacy Act91 az első olyan törvénynek tekinthető az USA-ban, amely átfogó módon védi a magánszemélyeket a magánszféra általi beavatkozásokkal szemben. Ez a jogszabály rögzít olyan követelményeket, mint a jogorvoslathoz való jog. Mivel azonban a Privacy Act hatálya csak azon személyes adatokra terjed ki, amelyek szövetségi hatóságoktól származnak, ezért a rendelkezések nem alkalmazandók az egyébként állami feladatot ellátó egyéb szervek adatkezelésére. Az általános tilalmi előírások érvényét lerontja az a szabály, mely lehetővé teszi, hogy az eredeti céllal összhangban a kezelt személyes adatokat „rendszeres használat” (Routinegebrauch) céljából nyilvánosságra hozhatja. Ennek a fogalmi meghatározása azonban nem történt meg sem jogszabályi, sem esetjogi szinten. Az 1974. évi információszabadság-törvény (Freedom of Information Act, FoIA) születésében is közrejátszott a Watergate-botrány. Ez váltotta ki az átláthatóság iránti igényt. Ennek megfelelően a törvény az információk nyilvánosságának elvén nyugszik, és a titkosítás kivételes lehetőség. Olyannyira hogy ezen alapelv a személyes adatok védelméhez való jogot is „felülírja”: a hatóságok által személyes adatokra is kiterjed az információszabadság elve. Az ilyen esetekben a hatóságok mindig esetről esetre mérlegelik, hogy a személyes adatok titokban maradásához fűződő érdek vagy az információ nyilvánosságra hozatalához fűződő érdek-e az erősebb. A törvény azonban elismeri az információs privacyhez való jogot, 90
GENZ: i. m., 48-49. o. A Privacy Act elfogadásában nem kis részben a Watergate-botrány játszott közre, amelynek során a Nixonadminisztráció a politikai ellenfelekről kezelt személyes adatokat, hogy ily módon a politikai küzdelemben előnyt szerezzen. Ennek megfelelően a Privacy Act a személyes adatok kezelésének tárolását szigorúan tiltja. 91
47
amelyet a hatóságnak a dokumentumokhoz való hozzáférés biztosítása során figyelembe kell venni. Az 1980. évi Privacy Protection Act (PPA) a személyes adatok védelmének szabályait fekteti
le.
Ez
a
törvény
a
véleménynyilvánítás
szabadságáról
szóló
első
alkotmánymódosításhoz kötődik, valamint az 1964. évi New York Times Co. v. Sullivan eset törvényi megfogalmazása.92 A Legfelsőbb Bíróság States v. Miller döntését követően a Kongresszus elfogadta a pénzügyi privacyhoz fűződő jogról szóló törvényt (1978. évi Right to Financial Privacy Act 12 U.S.C. §§3401-3422, RFPA), amely néhány alapelvet rögzít. A REPA előírja főszabályként, hogy az érintett személy beleegyezését be kell szerezni a pénzügyi adatainak kezeléséhez, kivéve, ha a terrorizmus vagy illegális hírszerző tevékenység üldözése céljából annak külföldre továbbítása válik szükségessé. Hiszen ha a pénzügyi adatainak kezeléséhez hozzájárul, számolnia kell azzal, hogy bűnüldözési célból esetleg más hatóság részére továbbítják azt. A Walker v. S.W.I.F.T. SCRL ügyben azonban az mondta ki a bíróság, hogy „az egyének banki adataihoz való korlátlan hozzáférés alkotmányos szempontból problematikus.” A SWIFT-től származó információk kizárólag a Pénzügyminisztérium kérésére továbbíthatók, és a megkereséseknek megtámadhatóknak kell lenniük bíróság előtt.93 A fentiek alapján megerősítést nyer, hogy az USA-ban biztosított személyes adatok védelméhez való jog szabályai rendkívül széttagoltak, specifikus adatkezelési célok által „szétszabdalt.” A tendencia pedig azt mutatja, hogy az adatvédelmi kérdéskörbe további szektorális területek kerülnek, és a törekvés nem az alapvető, általános szabályok rögzítésére irányul. Sőt, a jogpolitikai irányvonal mind szélesebb körben kívánja a személyes adatokat és így a magánszférát - a „fennhatósága” alá vonni. Ez különösen felerősödött a 2001. évi terrortámadás után. Ekkor fogadták el a PATRIOT Act-et. A nem állami szféra keretében megvalósuló adatkezeléseket tekintetében külön jogszabályok rendezik. A pénzügyi szolgáltatók általi adatkezelések területe érdemel témánknál és jelentőségénél fogva is kiemelést. Ezen területen is azonban egyes részterületek nyernek csak szabályozást, úgymint a hitelezéssel kapcsolatos jelentéstételekről, az elektronikus alapok adattovábbításáról vagy a pénzügyi rendszer modernizálásáról szóló törvény. A különféle szektorális adatkezelések miatt lehetetlen vállalkozás lenne valamennyi joganyag feldolgozása jelen tanulmány keretében. A nehézséget az is okozza, hogy az egy 92 93
GENZ: i. m., 50-54. o. SANTOLLI: i. m., 575-576. o.
48
adott területhez kötődő adatkezelések tekintetében is szerteágazó a joganyag. Ennélfogva annak megítélése, hogy az adott adatkezelés tekintetében elégségesek-e a követelmények, mindig csak esetről esetre dönthető el. Hiszen nincsen egy átfogó követelményrendszer lefektetve. Az Alkotmányon és a szövetési szabályokon túl az egyes államok önálló jogalkotói hatáskörrel is rendelkeznek. A tagállamoknak – hasonlóan a szövetségi államhoz – számos, a privacy területére eső szabályuk van, ugyanakkor azok jellemzője is az, hogy csak egyes speciális területeket fednek le. Az amerikai jog vizsgálata esetén nem mehetünk el továbbá a bírói esetjog elemzése mellett, hiszen az amerikai jogrendszer common law típusú, azaz a bíróságok is jogalkotó szervek, a megalkotott törvények értelmezésének folyamatos alakítói. Ebből következik, hogy nemcsak a jogszabályok eltérőek az egyes tagállamokban, hanem azokat – például a szövetségi törvényeket – eltérően is értelmezik a bíróságok. Az érem másik oldala azonban az, hogy a bíróságok a jogfejlesztő értelmezésekkel a hiányzó joganyagot „pótolhatják” is, így elviekben elképzelhető, hogy olyan területen nyújtanak jogvédelmet, ahol jogszabály nem biztosít ilyet. Összességében tehát megállapíthatjuk az amerikai joganyagról, hogy nincsen egy minden adatvédelemre kiterjedő, az általános és legalapvetőbb garanciákat rögzítő szabályozás.94 Az ausztrál Privacy Act 2000-es módosítása folytán magánszervezetekre, így a légifuvarozókra is alkalmazandó ez a jogszabály, amely lefektette a nemzeti privacy elveket (National Privacy Principles, NPPs). Ezek meghatározzák az adatkezelés kereteit a magánszervezetekre nézve. Személyes adat más állam részére történő továbbítására nézve azonban nem írja elő, hogy legalább azon követelményeket be kell tartania a címzett államnak, mint amelyet az NPP előír.95
94
GENZ: i. m., 56-57., 59-60., 62., 72-74., 76., 84-85., 126. o. SCHRADER, Christian: Passenger name record: undermining the democratic right of citizens?, In: Social Alternatives Vol. 25. No. 3. 2006, 47. o. 95
49
Európában a privacy kifejezés az angolszász rendszerrel szemben jogszabályi szinten nem jellemző. Európában az adatvédelem intézményes jellegű, amely azt jelenti, hogy nemzeti szinten létezik egy olyan szerv, amely a megállapított adatvédelmi garanciák és szabályok betartását ellenőrzi mind a magán-, mind a közszektorban, az ellenőrzés eredményétől függően pedig szankció kiszabására jogosult. Ebben az adatvédelmi rendszerben kiemelt jelentősége van az egyéni jogoknak.96
2.2.5. És ami az előzőekből kimaradt… A fogalmi alapvetés nemcsak nemzetközi szinten differenciálatlan, hanem a belső jogban sincsenek meg a jogszabályi fogalmi alapvetések és alapvető követelmények. Így példának kedvvért a tárgyalt joganyagok a személyes és különleges adatok megkülönböztetést ismeri, és nem foglalkozik külön a biometrikus adatokkal.97 Jóllehet a HAILBRONNER – PAPAKONSTANTIONOU – KAU: i. m., 194. o. A biometrikus adat olyan adat, amely az emberek mérhető testi adatait képezik le. Nem tévedünk, ha azt mondjuk, hogy biometrikus adat alapján azonosítjuk azt, aki szembe jön velünk az utcán, vagy akivel telefonon beszélünk stb. Ehhez képest a mostani tendencia abban különbözik, hogy egyrészt nemcsak az ember tud összehasonlítani, hanem erre a célra létrehozott számítástechnikai eszközök is. Másrészt pedig a felhasználási terület kiszélesedik, hiszen az ujjlenyomat eddig lényegében csak a büntetőeljárásban volt ismert, de egyre több területen lesz felhasználható, napjainkban például már ellenőrzési, bizonyítási, igazolási, azonosítási célul is szolgál. Fennáll annak a veszélye, hogy teljesen mindennapivá válik. [Szabó Máté Dániel: Biometrikus azonosítás és adatvédelem, In: Acta Humana XV. évfolyam 2004/1. szám, 82- 83. o.] Biometrikus azonosításra leggyakrabban a kéz, a szem, az arc, az aláírás, a hang vizsgálata és a DNSazonosítás szolgál. I. A kéz vizsgálata több mint 100 éves múltra tekint vissza, amely kétféle módon is szolgálja az azonosítást. Az azonosítás történhet egyrészt ujjlenyomat vagy tenyérlenyomat alapján, másrészt a kézgeometria is szolgálhat azonosítás alapjául. Ujjlenyomat, illetve tenyérlenyomat alapján történő azonosítás esetében az ujjbegy, illetve a tenyér mintázatát jegyzik fel, amely ujjlenyomat esetén körülbelül 40-60 pontot jelent, de már 8-12 pont esetén is azonosítható az érintett (sic!). A pontokból ugyanakkor nem állítható helyre az eredeti ujjlenyomat, ezért nem tartják a támogatói ezt a módszert személyiségi jogokat sértőnek. Ugyanakkor az ujjlenyomatnál a kesztyű viselése megakadályozza a pontos felismerést, a tenyérlenyomatnál pedig a rendszert megzavarhatja gyűrű viselése, illetve a nyomás nagysága, a kéznedvesség változása is. II. A retina is szolgálhat biometrikus adatként, amelyet egy alacsony intenzitású fényforrással tapogatnak le, amely idő alatt a fejet nem lehet megmozdítani, és egy adott pontra kell összpontosítani. Ettől az azonosítástól az írisz letapogatása annyiban különbözik, hogy ebben az esetben nincs fizikai kapcsolat a szem és a letapogató eszköz között. III. Míg az előző esetben pontos képet kapunk, az arc vizuális felismerése egypetéjű ikrek esetében nem lehetséges. Arc-thermogrammal viszont olyan felvételt lehet készíteni, amely az arc hőtérképét rögzíti. Ez nem változik meg akkor sem, ha a testhőmérséklet esetleg nőne, vagy csökkenne. Ez a legpontosabb módszer az azonosításban, de nagyon költséges. IV. Hasonlóan pontos módszer az aláírás ellenőrzése is, amely alapján annak tulajdonosa szinte teljes bizonyossággal megállapítható akkor is, ha a két aláírás teljesen azonosnak tűnik, hiszen az írás dinamikáját, idejét, alak –és mozgáseltéréseit nem lehet utánozni. V. A hanganalízis is egy sokrétű művelet, amelynek során az akusztikai jellemzők vizsgálata során sok millió ellenőrzés történik, mégis rövid ideig tart, de a háttérzaj, a rekedtség, esetleg a hangfelvétel minősége módosíthatja az ember hangját. VI. Utolsóként a DNS-azonosítást említeném. A DNS-vizsgálatok a büntetőeljárásban terjedtek el, hiszen ez a módszer segíti a bűncselekmény elkövetőjének kézre kerítését, míg másokat egyértelműen kizár az elkövetői körből. 96 97
50
biometrikus adatoknak az azonosításnál egyre nagyobb jelentősége van. Ezzel pedig a felhasználással felmerülő kockázatok lehetősége is nő. Az egyes biometrikus adatok rögzítése, ellenőrzése természetesen eltérő technikákat igényel, viszont valamennyi adatfelvétel esetén elkülöníthetünk több fázist. Az első fázisban készül el a biometrikus minta. Ebből a nyers adatokat tartalmazó mintából valamilyen algoritmus segítségével kiemelnek bizonyos számú jellemzőt, így jön létre a biometrikus sablon. A biometrikus rendszerek többnyire csak ezt a sablont tárolják - és nem magát a képet, hangmintát stb. - valamilyen digitalizált formában, bár vannak olyan rendszerek is, amelyek ezeket a nyers adatokat tárolják sablon képzése nélkül. A folyamat végén csak egy vektortérkép marad az ujjlenyomat meghatározó
pontjaival.
Ezt
a
számítógépek
számára
értelmezhető
számsorokká,
algoritmusokká alakítják át, és a chipen rögzítik.98 A tárolás, azaz a sablon formája eltérő lehet attól függően, hogy mi a felhasználás célja, mekkora a sablon mérete. Ezek alapján három kategóriába sorolhatjuk a tárolási módszereket. Központi adatbázisban történő tárolás esetén van csak a személyazonosság megállapítására lehetőség.99 A tárolás történhet továbbá magukon az azonosítást végző eszközökön, illetve valamilyen adathordozón (pl. mágnescsíkos vagy mikrochipes kártyán). Valamennyi esetében felmerülnek azonban technikai és alkotmányossági aggályok, amelyekre a későbbiekben még kitérek. A biometrikus adatok kapcsán nem lehet elmenni amellett, hogy az ilyen adatok kezelése vonatkozásában ne említsük meg az azonosító rendszerek előnyeit és hátrányait. Biometrikus azonosító rendszereken100 olyan eszközöket és eljárásokat kell érteni, amelyek a
A DNS-minta elkészítése viszont nagy szakértelmet és komoly laborfelszerelést igényel. Időigényessége miatt naponta csak kb. 100 minta készíthető el, amelynek ára 100 000 $ mintánként, egy DNS-chip elkészítése ennek ötszöröse, és ebből kifolyólag, illetve természetesen adatvédelmi okból nem alkalmazható útlevélben. 97 A biometrikus technikák, azonosító rendszerek egy része tehát a személy magatartását elemzik (például az aláírásmintát vizsgálják, a járást elemzik, a test illatát vagy a hangot felismerik), míg más részük a fiziológiai jellemzőket elemzi (például ujjlenyomat igazolása, retinaelemzés, hangfelismerés, DNS minták elemzése esetén). [Munkaanyag a biometrikus azonosítókról (WP 80) (Letöltés forrása, ideje: http://abiweb.obh.hu/abi/index.php?menu=209 2009. 11. 10.)] 98 Szabó, 84-89. o. 99 Lásd 1.2. alfejezet 100 Az azonosító rendszerek közül csak egyik a biometrikus, emellett létezik még az eszköz és a jelszó alapján történő azonosítás. Ez utóbbi két esetben a rendszer nem a személyt (a jelszó, illetve az eszköz tulajdonosát), hanem magát a kódot, illetve az eszközt azonosítja. A kód szerinti felismerés a logikai világ (What You know?) része, amelynek a veszélye az, hogy az ember elfelejtheti, másokkal közölheti a jelszót, így visszaélésekre adhat okot. Az eszköz segítségével történő azonosításnál viszont egy fizikai vizsgálatra (What You have?) kerül sor. Ebben az esetben előfordulhat, hogy magát a dolgot elveszítjük, elfelejtjük magunkkal vinni, ellopják, vagy lemásolják.
51
személyek mérhető testi tulajdonságait használják fel azonosításra vagy személyazonosság megállapítására valamilyen technika segítségével. A definíció pontos megértéséhez szükséges elhatárolni az azonosítást a személyazonosságtól. Míg az azonosítás az „az vagyok, akinek mutatom magam?” típusú kérdésre ad választ, addig a személyazonosság megállapításánál a „ki vagyok én?” típusú kérdést kell megválaszolni. Előbbi estben a tárolt adatoknak a személy testével való összehasonlítása után az igen vagy nem választ kapjuk, utóbbi esetben viszont a rendszer felismeri a személyt oly módon, hogy megkülönbözteti másoktól, akiknek a biometrikus adatai már tárolásra kerültek. Itt egy adatot hasonlít össze az összes többivel, az azonosítás során viszont két adatot mér össze. 101
2.3. Az emberi méltóság és az információs önrendelkezési jog Az emberi méltósághoz való jog szoros összefüggésben van a személyes adatok védelméhez való joggal, annak aktív és passzív oldalával is. Az élethez és emberi méltósághoz való jog az a lényegi tartalom az adatvédelem területén, amely törvénnyel sem korlátozható. Az adatvédelem vonatkozásában a személyes adatok kezelése, különösen a szenzitív vagy biometrikus adatok kezelése felvetheti az emberi méltósághoz való jog sérelmét, hiszen az annak a veszélyével jár, hogy az ember az adatkezeléssel elérni kívánt célnak csak eszköze lesz, instrumentalizálódik. A biometrikus adatok azért is igényelnének szigorúbb szabályozást, mert az nem változtatható meg, így ha illetéktelen személy biometrikus adathoz hozzáfér, szinte lehetetlen a helyzetet orvosolni. A személyes adatok közül továbbá ki kell emelnünk azokat az adatokat, amelyek további személyes adatokra engednek következtetni, ilyen például egy fénykép, amelyből a faji hovatartozásról is nyerhetünk információt. Hasonló problémát vet fel, ha egyes nyilvántartások összekapcsolhatóak, és így az egyes személyekről kialakító a személyiségprofiljuk.102
A biometrikus azonosítás a jelszó és az eszköz alapján történő azonosítástól akként lehet elhatárolni, hogy a biometrikus azonosító nem ruházható át, mert egyedi biológiai jellemzőket vizsgál (Who You are?). A biometikus azonosítás az élet számos területén jelen van, ennek egyik új iránya a biometrikus adatoknak útlevélben történő alkalmazása. [Török Csaba projektje (Letöltés forrása, ideje: http://www.szgti.bmf.hu/~mtoth/download/Hallgatoi%20projektek/T%F6r%F6k%20Csaba%20%20Biometria.pdf 2009. 12. 20.) 20-21. o.] 101 Szabó, 83-84. o. 102 WIEDEMANN, Ursula: Biometrie – Stand und Chancen der Vermessung des Menschen, Frank&Timme, Berlin, 2012, 95., 98. 100 o.
52
3. Nemzetközi rendőrségi együttműködés az Európai Unióban – adatvédelmi szempontú elemzés A bűnügyi együttműködés az együttműködési formák kora időszakában egyet jelentett a bűnügyi jogsegéllyel, amelynek keretében az egyes államok igazságügyi hatóságai segíttették egymást az igazságszolgáltatás megfelelő lebonyolításában. A bűnügyi együttműködés fogalmi köre a bűnügyi jogsegélyhez képest kibővült, még pedig a kevésbé formális együttműködési formákkal, így a rendőrségek és vámhatóságok kooperációjával. Az igazságügyi és rendőrségi együttműködési formák megkülönböztetése iránti igényt jelzi a Schengen II egyezmény III. címe és az Amszterdami Szerződéssel Módosított EU szerződés VI címe. Mindegyik dokumentum külön nevesíti a rendőrségi és az igazságügyi együttműködés formát, ez utóbbi alatt értve a jogsegélytípusú együttműködést. Ezen együttműködési formák fogalmi tisztázása feltétlenül szükséges ahhoz, hogy azokat adatvédelmi szempontból vizsgálat alá vethessük. A belső joganyag igyekszik az egyes együttműködési formákat meghatározni, így azokat a többi jogintézménytől elhatárolni, ugyanakkor számos esetben maguk a nemzetközi vagy uniós jogforrások nem biztosítják a tisztán látást.
3.1. Az együttműködési formák elhatárolási szempontjai 3.1.1. A kooperáció célja Az igazságügyi és rendőrségi együttműködés elhatárolása az együttműködés célja alapján. A bűnügyi együttműködés fejlődésének korai szakaszában az együttműködés politikai természetű volt, anélkül, hogy az az igazságszolgáltatás alapjául szolgált volna.105 A bűncselekmények „nemzetköziesedése” és XVII. századi elterjedése azonban elvezetett ahhoz, hogy az egyes államok saját és más államokkal közös érdekei védelme érdekében együttműködjenek. Az állami érdekek felismerése mellett továbbá a nemzetközi jog azon állomása is szerepet játszott a bűnügyi együttműködés továbbfejlődésében, hogy a kooperáció a nemzetközi jog immanens elemévé vált. Ennél fogva kijelenthető, hogy a bűnügyi együttműködésnek a célja a ius puniendi érvényesítése volt. A bűnügyi jogsegélytípusú együttműködésnek a célja azonban ezen belül a bűnüldözés volt, azaz már elkövetett bűncselekmény elkövetőjének kézre kerítése és büntetőjogi felelősségének megalapozása. Míg a rendőrségi együttműködés elsősorban
53
bűnmegelőzési célú, azaz proaktív jellegű. A jogsegély esetében azonban van már elkövetett bűncselekmény, így az reagáló, retroaktív jellegű. Ez a fajta elhatárolás azonban azért nem egyértelmű, mert a határokat elmossa az a tény, hogy a rendőrségi együttműködés keretében megszerzett adatok gyakran a büntetőeljárás és a büntetőjogi felelősség alapjául szolgálnak. A bűnügyi területe megvalósuló együttműködés mellett a közigazgatási ügyekben folytatott együttműködésről sem szabad megfeledkezni. Már csak azért sem, mert egységes büntetőjog hiányában, az egyes államokban bizonyos büntetendő cselekmények a büntetőjog, míg másoknál a közigazgatási jog területére eshetnek. Az összefonódást nemcsak ez okozza, hanem az Unió pénzügyi érdekeinek védelme érdekében folytatott együttműködések is, amelyek többek között adó ügyek. Ezek tipikusan a közigazgatási jog területére esnek, viszont a jogsértő cselekmények egy része már nem pusztán közigazgatási jogkövetkezménnyel járnak, hanem büntetőjogival is. Ezt erősíti az is, hogy az uniós érdekek sérelme esetén nem pusztán az általános nyomozati jogkörrel felruházott rendőrségek rendelkeznek hatáskörrel a tagállamokban, hanem nyomozati jogkörrel vannak felruházva más hatóságok is, mint például a vám- és adóhatóságok. Jóllehet a közigazgatási eljárás önmagában nem irányulhat bűncselekmény felderítésére, mégis a valóságban az a büntetőeljárás előfutárának tekinthető. Az így beszerzett bizonyítékok büntetőeljárásban való felhasználhatósága azonban számos kérdést vet fel, hiszen a közigazgatási aktusok nem esnek bírói kontroll áll. A közigazgatási és bűnügyi területen megvalósuló együttműködések tekintetében a jogalkotás mechanizmusa eltér, hiszen az előbbi a korábbi I. pillér alá tartozhat, míg az utóbbit kizárólag a III. pillér rendszer vonatkozásában előírt jogalkotási eljárásban lehet megalkotni.
3.1.2. A hatáskörrel rendelkező hatóságok szerinti elhatárolás Az államok között bűnügyi együttműködés lehet horizontális vagy vertikális együttműködés. A horizontális együttműködés esetében arról van szó, hogy az együttműködés azonos hatáskörű szervek között történik meg, így például két állam rendőri szerve közötti adatcsere. A vertikális együttműködés keretében azonban eltérő hatáskörrel rendelkező szervek működnek együtt. A vertikális együttműködés feltételezhet hierarchiát, illetve lehet nem hierarchikus
viszony
is.
Ez
utóbbit
hívjuk
diagonális
együttműködésnek.
A
megkülönböztethetőség érdekében az előbbit (a szűk értelemben vett) vertikális 54
együttműködésként azonosítjuk. A nemzetközi szervezet és egy nemzeti hatóság közötti viszony hierarchikus jellegűnek tekintendő, mivel a megkeresés teljesítését jóval szűkebb körben utasíthatja el, mint a horizontális vagy diagonális együttműködés keretében. Ez az együttműködés kevésbé nyugszik a kölcsönösség elvén, mint inkább az egyoldalúságon. Nem mindegyik nemzetközi vagy uniós szerv rendelkezik olyan jogkörrel, hogy saját nevében megkeresést intézzen egy nemzeti hatósághoz, inkább koordinatív szereppel bír, mint például az Europol is. Az OLAF azonban, mint a közigazgatási együttműködés egyik kulcsszereplője jogosult arra, hogy nemzeti hatóságnál nyomozati eljárás lefolytatását kezdeményezze. Jóllehet az OLAF a közigazgatási ügyekben folytatott uniós együttműködés szereplője, mégis büntetőeljárás kezdeményezésére jogosult. Ez a közigazgatási és bűnügyi együttműködés közötti különbséget megint csak elfedi. Az OLAF ezen túl maga is rendelkezik nyomozati jogkörrel akkor, amikor közös nyomozócsoport résztvevője. A
diagonális
együttműködés
viszont
a
tág
értelemben
vett
vertikális
együttműködésnek az a fajtája, ahol az együttműködő szervek között mellérendeltségi, a kölcsönösségen alapuló kapcsolat van. Ezt a fajta együttműködés az hívta életre, hogy tartalmilag azonos hatáskörrel az egyes államokban különböző – akár közigazgatási akár büntető – hatóságok rendelkeznek. A fentiek alapján kirajzolódik, hogy az igazságügyi együttműködés keretében a bíróságok és az ügyészségek együttműködését értjük, amely a bűnügyi jogsegély fogalommal azonosítható, míg nem tartozik az igazságügyi együttműködés fogalma alá a rendőrségi együttműködés. A rendőrségi együttműködés minden esetben nem jogsegélytípusú együttműködésnek minősül. A kettő közötti határ leginkább az együttműködés tartalma, célja felől közelíthető meg. Az, hogy valójában bűnügyi vagy közigazgatási ügyben folytatott együttműködésről van-e szó a megkeresés tartalma alapján kell megítélni, mert a hatáskört gyakorló hatóság alapján ez nem határozható meg egyértelműen. Az Európai Uniós jogsegélyegyezmény sem segíti a fogalmi elhatárolást.
3.1.3. Az együttműködés modelljei Az együttműködés kezdetben az ún. kooperatív modell keretében fejlődött. A kooperatív modell keretében az államok szuverenitásuk megőrzése mellett kölcsönösen segítették egymás hatóságait a büntetőügyek megelőzése és felderítése területén.
55
A kooperatív modell mellett a horizontális integráció is megjelent, mely keretében111 az egyes államok bizonyos feltételekkel lemondanak szuverenitásuk egy részéről: más állam hatósága is végrehajtat bizonyos eljárási cselekményeket az ország területén (pl. forró nyomon üldözés). Ezen modell kialakítása feltételezi, hogy az államok bizonyos fokú bizalommal viseltessenek egymás iránt, és közös értékrendet kell, hogy képviseljenek. Az integrációs modell még mélyebb formája a vertikális integráció, melynek keretében az államok úgy mondanak le szuverenitásuk egy részéről, hogy azt egy felsőbb entitásra ruházzák. A bűnügyi és a rendőrségi együttműködés is elsősorban a kooperatív modell jegyeit viselik magukon, ugyanakkor főként a rendőrségi együttműködés számos integrációs elemmel is rendelkezik, de mindezek kevésbé formalizáltak. A rendőrségi együttműködés területén is azonban a XX. században megjelent az igény az emberi jogok garanciális eleminek rögzítésére, az együttműködés formálisabbá tételére. Az igazságügyi együttműködés tekintetében pedig az informális kapcsolatok iránt merült fel az igény. Az EU eljárási jogsegélyegyezménye például lehetővé teszi a fogva tartott terhelt kihallgatás céljából történő ideiglenes átadását. Ebben az esetben a megkeresett állam nem maga teljesíti a megkeresést, hanem a megkereső állam veszi azt foganatba azt a megkeresett állam területén akár úgy, hogy az eljáró állam joga az irányadó (forum regit actum), ha az nem összeegyeztethetetlen a megkeresett állam jogával. Így a két együttműködési forma tekintetében a szabályozottság szempontjából vajmi kevés különbség tehető, mint ahogy bizonyítja ezt a közös nyomozócsoportok felállításának lehetősége. Az igazságügyi és rendőrségi együttműködés területén a közvetett kapcsolatfelvételen túl a közvetlen kapcsolatteremtés lehetősége a hatékonyságot szolgálja. A rendőrségi együttműködés keretében azonban a közvetlen megkeresésen vagy hozzáférésen túl a más hatóságokkal – így különösen a nemzetbiztonsági hatóságokkal –, valamint civil felekkel, így például a magánnyomozó szervekkel való együttműködés egyre nagyobb szerephez jut. Az igazságügyi és bűnügyi együttműködés elhatárolására tett kísérlet sikeréhez hozzájárulhat a Lisszaboni Szerződés által megvalósított koncepcióváltás: a pillérrendszer eltörlése. Az együttműködések elhatárolására nem alkalmas a pillérrendszer felőli megközelítés, hanem azokat tartalmi szempontból kell megítélni. Azt kell összességében és
56
összefüggésében megítélni, hogy az együttműködésnek mi volt a célja és azt mely hatóság milyen hatáskörében hajtotta végre. Ez a fajta gondolkodás megfelelő azon igény érvényre juttatására, hogy a közigazgatási
együttműködés
körében
megszerzett
adat
felhasználható
legyen
a
büntetőeljárásban. Mivel azonban a közigazgatási eljárási aktusok érinthetnek alapvető jogokat, ezért megfontolandó lenne a közvetlen, illetve a közvetett bírói kontroll biztosítása. A közvetlen bírói kontroll alatt az adott eljárási cselekmény felügyeletét, azzal szembeni jogorvoslati jogot értjük. Míg a közvetett bírói felügyelet az eljárási cselekmény által kiváltott joghatással szembeni jogorvoslat lehetőségét jelenti. Ez utóbbi alá eshet a beszerzett bizonyíték jogszerű felhasználásának megtámadása. A jelenlegi gyakorlat szerint a külföldön beszerzett bizonyíték akkor nem használható fel a belföldi büntetőeljárásban, ha a külföldi állam kifejezetten tiltakozik a felhasználásával szemben. Tiltakozó nyilatkozat hiányában a terhelt csak nagyon szűk körben hivatkozott a bizonyíték jogellenesen beszerzett voltára. Ezért merül fel 1999-ben a XVI. Nemzetközi Büntetőjogi Kongresszuson az általános tiltó szabály bevezetése. Ezt a hiányosságot orvosolhatná az a fajta gondolkodás, amely az együttműködést tartalmánál fogva ítéli meg. Azon félelem mellett, hogy az igazságügyi együttműködés helyett a rendőrségi együttműködés kevésbé formalizált szabályi kerülnek alkalmazására, fontos megemlíteni, hogy az igazságügyi, rendőrségi és közigazgatási területen folytatott együttműködés szintézisét meg kell teremetni ahhoz, hogy az alapvető jogok ne szenvedjenek sérelmet. Az igazságügyi és a rendőrségi együttműködés között a formális és informális elemek szempontjából már egyre halványabb a határ, ezért ezen együttműködések vonatkozásában az összhangot,103 a közös garanciákat kellene rögzíteni.104
3.2. Együttműködés az uniós joganyagban a biztonság érdekében A biztonság garantálása érdekében az imént tárgyalt adatvédelem és magánszférához való jog kihívások elé kerül. Helytálló Locke azon megállapítása, hogy a biztonságnak az állam által kell biztosítottnak lennie, de egyúttal az állammal szemben (az állami A szabályozási összhang kapcsán meg kell említeni azt, hogy a koherencia és a konzisztencia fogalma ettől különbözik. A konzisztencia azt jelenti, hogy a különböző jogi szabályozások között nincsen ellentmondás, míg a koherencia a jogalkotó részére tett pozitív jogalkotási lépéseket jelenti, amelyek a szabályok megfelelőségét szolgálják. [VAN ELSUWEGE, Peter: EU external action after the collapse of the pillar structure: in search of a new balance between delimitation and consistency, In: Common Market Law Review, v. 47, n. 4, 2010,1013. o.] 104 M. NYITRAI Péter: A nemzetközi bűnügyi együttműködés területeinek összefonódása Európában: nemzetközi rendőri együttműködés és nemzetközi bűnügyi jogsegély, In: Belügyi Szemle, 2004/5. szám, 104., 105-110., 112-116. o. 103
57
beavatkozástól) is garantálni kell a biztonságot, más szóval az állam az, aki a biztonságot kikényszeríti és ő az, aki egyúttal biztosítja az emberi jogokat. Ez a jogállamiság követelményében nyer rögzítést az alkotmányokban, amelyből számos – akár egymástól eltérő – tartalmi következtetésre lehet jutni. Ez azt is jelenti, hogy a jogállamnak fogalmi eleme a biztonság garantálása is. Az állami beavatkozás mértéke azonban az állam önkorlátozásától függ, természetesen a jogállami keretek között. Az emberi jogok, így különösen az emberi méltósághoz való jog szabnak határt az állami beavatkozásoknak. A biztonság tartalmi megközelítés szempontjából nem egy homogén fogalom, ezért nem adható rá egy egységes fogalom. Megkülönböztethetjük a magánbiztonságot a közbiztonságtól. Ez utóbbi a közösségi léthez szükséges olyan feltételek biztosítását jelentik, amelynek objektív megteremtésére az állam köteles. A magánbiztonság viszont az egyén jólétének javítását célozza. A közbiztonság értelmezhető továbbá belső vagy külső biztonságként. A belső biztonság az állam és a társadalom védelmét jelenti társadalmi fenyegető jelenségektől, mint amilyen például a terrorizmus.105 A külső biztonság ezzel szemben más állammal vagy államok csoportjával szembeni védekezést jelöli, amely nemcsak katonai, hanem katonai jellegű is lehet, mint amilyen az illegális migráció vagy a szervezett bűnözés elleni védelem. Ezen fogalmi alapvetésből kiderül, hogy a külső és a belső biztonság közötti határvonalak elmosódnak. Mindehhez még azt is figyelembe kell venni, hogy a biztonság mindig relatív és szubjektív. A biztonság lehet lelki, fizikai, vagyoni stb. de az ezeket fenyegető veszélyek is nagyon sokfélék, mint például természeti katasztrófától, vízhiánytól, gazdasági válságtól, nemzetközi terrorizmustól. Az ezekkel szembeni védekezés lehet megelőző vagy utólagos jellegű, és abban számos állami vagy nem állami szerv vehet részt, amelynek együttműködésben kell megvalósulnia. Kérdésként merül fel azonban, hogy létezik-e a biztonság, mint alapjog? Isensee szerint56 a biztonsághoz való jog nem kifejezetten létezik, hanem az állam védelmi kötelezettségéből következik. Ennélfogva a biztonság garantálása nem egy, a polgárok részéről felmerült igény vagy cél, hanem inkább az állami beavatkozás legitimációjául szolgál.
Az eredeti jelentése a belső biztonságnak az volt, hogy a belső fenyegetésektől kell megvédeni a társadalmat, illetve az államot, de mára ez a fogalom meghaladottá vált, így az államot kívülről ért támadással szembeni védekezés is a belső biztonság fogalmi körébe tartozik. 105
58
A biztonsággal szemben esetünkben a szabadság áll, amelynek meghatározása szintén nem egyszerű feladat, hiszen általánosságban a korlátlan kibontakozás lehetőségét jelenti, amelynek azonban szintén számos oldala van, úgymint jogtudományi, vallási stb. A Továbbiakban a jogtudományi megközelítéssel foglalkozunk. A szabadságnak két oldalát különböztethetjük meg a jogtudományban: a pozitív és a negatív szabadságot. A negatív szabadság a korlátoktól mentességet („Freiheit von…”) jelenti, míg a pozitív szabadság a valamihez való jogot jelenti („Freiheit zu…”). Ennek megfelelően a szabadság viszonyában fontos tényező a szabadság alanya, tehát maga a szubjektum, a szabadság tárgya és a korlátok, mint a szabadság határai. A valamitől való szabadság elsősorban az állami beavatkozástól mentes cselekvés iránti igényként fogalmazódott meg, amely alapelv a jogállam követelményévé vált. Ez a követelmény jelenik az emberi méltósághoz való jog vagy a személyes adatok védelméhez való jog deklarációjában is. A szabadság és a biztonság közötti arany középutat kell megtalálni, hiszen látszólag ez a követelmény egymással kibékíthetetlen ellentétben van: minél nagyobb a biztonság annál kisebb a szabadság, és fordítva, minél nagyobb a szabadsága az embernek, annál kisebb a biztonságérzet.106 Különösen így van ez akkor, amikor az automatizált adatkezelések egyre inkább előtérbe kerülnek. Úgyszintén további adatvédelmi garanciákat igényelne a biometrikus adatok kezelése, amelyek előkerülnek például az Eurodac adatbázisban, a VIS és a SIS II rendszerében.107 A 2004 novemberében elfogadott Hágai program fontos lépésnek tekintendő a rendőrségi adatcsere vonatkozásában, mert ez a dokumentum fektette le a hozzáférhetőség elvét.108 A magánszféra védelme és a személyes adatok védelméhez való jog – mint ahogy fentebb láthattuk – nem korlátozhatatlan alapjog. Így a bűnmegelőzés és a bűnüldözés igazolhatja a jogkorlátozást, azonban ennek is meg kell felelnie a garanciális követelményeknek. Napjainkban a terrorizmus és egyéb súlyos bűncselekmények megelőzése 106
COMANS: i. m., 45-48. o., 52-53., 57. o. FUSTER, Gloria González – DE HERT, Paul – GUTWIRTH, Serge: Privacy and data protection in the EU Security Continuum, In: Justice and Home Affairs, IN:EXPolicy Brief, 14 June 2011, 1. o. http://works.bepress.com/cgi/viewcontent.cgi?article=1079&context=serge_gutwirth letöltés ideje: 2013. 02. 17. 108 BELLANOVA: i. m., 211. o. 107
59
érdekében egyre több személyes adat kezelésére kerül sor, amely ma már nem marad az államhatárokon belül, hanem egyes uniós tagállamok és harmadik államok között is naponta milliós nagyságrendben cserélnek gazdát az adatok. Ezen túl pedig államok feletti intézmények is részt vesznek a bűnmegelőzés és bűnüldözés elleni harcban. Ez a tevékenység nem képzelhető el adatok nélkül. A 2006/960/IB kerethatározat a harmadik pillér keretében született, melynek célja a tagállami bűnüldöző hatóságok közötti együttműködés egyszerűsítése volt. A kerethatározat lex generalisnak tekintendő, általános szabályokat fektet le a rendőrségi és bűnügyi együttműködés területén. A kerethatározat ennek megfelelően nem hoz létre új adatbázist, csak a meglévő adatbázisok és adatállományok tekintetében határoz meg háttérszabályokat. A Prümi Szerződés ehhez képest lex specialisnak tekintendő, mert újfajta adatkezelési esetet szabályoz: a DNS, ujjnyom és járműnyilvántartások létrehozását irányozza elő, és annak szabályait fekteti le. Mindezt azonban az illegális migráció megfékezése érdekében teszi. Ennél fogva a Prümi Szerződésnek is a kerethatározat háttérjogszabálya: a két jogi aktus között így nem lehet ellentmondás, mert a kerethatározat csak annyiban alkalmazandó, amennyiben a Prümi Szerződés valamely kérdésről nem rendelkezik.109 Jóllehet a kerethatározattal egy időben keletkezett ez a szabály is, így adott volt az a lehetőség, hogy az adatvédelmi rendelkezések egy helyen kerüljenek rögzítésre. 110 A Prümi Szerződés célja, hogy bizonyos személyeket egyértelműen azonosítson és a rá vonatkozó információt az eljáró hatóság megszerezze, ideértve az érzékeny adatokat is.211 A Prümi Szerződés adatvédelmi rendelkezései megfelelően mondhatók. A speciális adatvédelmi rendszer alapján két lépésben lehet a személyes adatokhoz hozzáférni. Első lépésként a hit/no hit rendszer alapján először arról kap az adatkezelő információt, hogy van-e találat vagy nincs találta az adott személyre, majd utána lehet a személyes adataihoz hozzáférni. A Prümi Szerződés előirányozza a tagállamok számára, hogy valamennyi uniós tagállamnak DNS-adatbázist kell létesíteni, ennek a jogi alapjait azonban nem fekteti le.215
LEYRER, Richárd: A nemzetközi rendőri együttműködés aktuális kérdései, In: Jogelméleti Szemle 2009/4. szám 110 O’ NEILL, Maria: The Issue of data Protection and data Security inthe (Pre-Lisbon) EU Third Pillar, In: Journal of Contemporary European Research. Vol. 6., Issue 2., 227. o. 109
60
Azt viszont meg kell állapítanunk, hogy ezen uniós aktus esetében a kivétel – miszerint személyes adaton az adatalany tudta nélkül végezhető művelet.111 A rendőrségi és a bűnügyi együttműködés területén a közös szabályok kialakításával szemben még mindig komoly akadály, hogy a tagállamok nem akarnak engedni a szuverenitásukból, hanem a bűnüldözést elsősorban belügynek tekintik. Ez oldódni látszik a Lisszaboni Szerződéssel, mert a korábbi harmadik pillér közösségiesedik, és már főszabályként nem lesz szükség az államok kormányközi megállapodására a rendőrségi és bűnügyi együttműködésre vonatkozó szabályok elfogadásához.112 Az államok közötti együttműködés már túllép a közvetett, illetve a közvetlen információcserén, és az „államok feletti”, azaz uniós szervek létrehozatalával, illetve jogharmonizációval, esetleg jogegységesítéssel könnyíti meg az együttműködést. Mindezek vonatkozásában kiemelnék néhány példát a Lisszaboni Szerződés által előidézett változásokból. Az Eurojust uniós bűnüldöző szervnek tekinthető. Feladata a több tagállamot, illetve az uniós bűnüldözői érdeket érintő súlyos bűncselekmények kivizsgálása, és az ehhez kapcsolódó büntetőeljárásban a tagállami bűnüldöző hatóságok közötti koordináció. Az „uniós büntetőeljárási jog” területén előrelépést jelent, hogy „az Unió pénzügyi érdekeit sértő bűncselekmények üldözésére a Tanács különleges jogalkotási eljárás 113 keretében elfogadott rendeletekben az Eurojustból Európai Ügyészséget hozhat létre.” Az Európai Ügyészség a nyomozáson kívül képviseli a vádat a tagállami bíróságok előtt. Az Európai Ügyészség hatásköre – az EP egyetértését és a Bizottsággal folytatott konzultációt követően – az Európai Tanács
egyhangú
döntésével
kiterjeszthető
a
több
államra
kiterjedő
súlyos
bűncselekményekre is. [EUMSz. 85. cikk (1) bek., 86. cikk (1)-(2) és (4) bek.] Az Európai Unió működéséről szóló szerződés a büntető anyagi jogok közelítését is célozza azzal, hogy előírja, „az Európai Parlament és a Tanács rendes jogalkotási eljárás keretében
elfogadott
irányelvekben
szabályozási
minimumokat
állapíthat
meg
a
111
BELLANOVA: i. m., 212-214. o. HIELKE – ALFONSO, i. m., 1496. o. 113 A rendes jogalkotási eljárás a Lisszaboni Szerződéssel került be az uniós jogalkotásba, amely a Bizottság javaslatára a Tanácsban a kétharmados támogatást, valamint az Európai Parlament egyetértését követeli meg egy adott aktus elfogadásához. [EUMSz. 294. cikk] A rendőrségi és az igazságügyi együttműködés területén a Bizottságon kívül a tagállamok egynegyede is jogosult kezdeményezésre. [EUMSz. 76. cikk] Ehhez képest különös szabály az egyhangú döntés követelménye. Ez érvényesül a közös kül- és biztonságpolitika és az EU egyéb külső tevékenységének területein. [EUSz. 22. cikk (1) bek.] További fék, hogy a tagállamok egynegyede az Európai Tanács elé utalhatja a javaslatot, ha úgy véli, hogy az a büntető igazságszolgáltatási rendszerét alapjaiban érinti. 112
61
bűncselekményi tényállások és a büntetési tételek meghatározására vonatkozóan az olyan különösen súlyos bűncselekmények esetében, amelyek jellegüknél vagy hatásuknál fogva a több államra kiterjedő vonatkozásúak, illetve amelyek esetében különösen szükséges, hogy az ellenük folytatott küzdelem közös alapokon nyugodjék. Ezek a bűncselekményi területek a következők:
terrorizmus,
emberkereskedelem
és
a
nők
és
gyermekek
szexuális
kizsákmányolása, tiltott kábítószer-kereskedelem, tiltott fegyverkereskedelem, pénzmosás, korrupció, pénz és egyéb fizetőeszközök hamisítása, számítógépes bűnözés és szervezett bűnözés.” Ez a bűncselekményi kör kiterjeszthető a bűnözés alakulásának függvényében. Ezt a Tanács teheti meg – az EP egyetértését követően – egyhangúan elfogadott határozatban, ha azok egyébként megfelelnek az imént említett kritériumoknak. [EUMSz. 83. cikk (1) bek.] A Lisszaboni Szerződés hatályba lépését követően viszont az Európai Parlament és a Tanács rendes jogalkotási eljárás keretében született rendeletében határozhatja meg a terrorizmus és az ahhoz kapcsolódó tevékenységek megelőzése és üldözése érdekében például a pénzeszközök befagyasztásának kereteit. [EUMSz. 75. cikk] Úgyszintén az Európai Parlamentnek és a Tanácsnak van joga arra, hogy „az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányra vonatkozó intézkedéseket” fogadjon el, de ezt nem a rendes jogalkotási eljárás, hanem a különleges jogalkotási eljárás keretében, egyhangúan teszik. [77. cikk (3) bek.] A rendőrségi együttműködés keretében történő információgyűjtésre, -tárolásra, feldolgozásra és -cserére vonatkozóan viszont a Parlament és a Tanács rendes jogalkotási eljárás keretében állapíthat meg intézkedéseket. A rendőrségi együttműködés ezen kívül az állomány képzésére és cseréjére, valamint a szervezett bűnözés felderítéséhez alkalmazható közös nyomozási technikák kidolgozására is kiterjed. [EUMSz. 87. § (2) bek.] Ezen a területen előrelépést jelent az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) bevezetése, amelynek célja a hatékonyabb együttműködés elősegítése volt. A tanácsi kerethatározat nem egy központi adatbázist hozott létre, hanem a tagállami bűnügyi nyilvántartásokban foglalt adatok továbbításának egyszerűsítését célozza. Nincsen szó tehát a nemzeti bűnügyi nyilvántartások egységesítéséről. Csak egy egységes formátumot hoztak létre az adatok továbbítására, ezzel a címzett állam hivatalos nyelvén történő továbbítás nagyban megkönnyíti az információáramlást. Egészen eddig az 1959-es kölcsönös jogsegélyegyezmény volt az a jogforrás, amely az információcsere ezen módjára is
62
alkalmazandó volt.114 Ez az egyezmény a bűnügyi adatokra nézve éves információcserét irányzott elő. A gyakoribb adatszolgáltatást is természetesen megengedte, de ehhez megfelelő technikai infrastruktúra szükségeltetett. Mivel az adatszolgáltatásra nem kellő gyakorissággal került sor, ezért az adatok időszerűsége nem volt helytálló. Ezt a hibát a jelenlegi megoldás próbálja kiküszöbölni. Mi lesz a következő lépés az európai rendőrségi és igazságügyi együttműködésben? Létrejön-e a közeljövőben egy központi bűnügyi nyilvántartás? Lehet-e egyáltalán elég hatékony a tagállamok között együttműködés egységesülés hiányában? Az ECRIS létrehozása egy lépés lehet a központi adatbázis létrehozása felé.115 A következő lépés a nemzeti bűnügyi nyilvántartások összekapcsolása lehet, majd utolsó lépésként a központi regiszter létrehozása, amelynek megvalósítása további kérdéseket is felvet. A jelenlegi megoldásnak is meg kell küzdenie a különböző tagállami szabályozással, így például az eltérő (bűncselekményi) minősítésekkel. További kihívás az adatvédelmi követelmények érvényesülésének biztosítása. Csakúgy, mint a rehabilitáció megítélése az egyes tagállamok jogrendszerében.116 A bűnügyi nyilvántartásokon túl további adatbázisoknak is nagy jelentősége van a bűnüldözés és bűnmegelőzés területén. Tendencia, hogy a nyomozó hatóságok nem állami szervek adatállományait is egyre gyakrabban felhasználják. A nem bűnüldözési célú adatbázisok, illetve egyéb adatok bűnüldözési célra való alkalmazása (pl. az Eurodac vagy a
A Tanács 2009/315/IB kerethatározata (2009. február 26.) a bűnügyi nyilvántartásból származó információk tagállamok közötti cseréjének megszervezéséről és azok tartalmáról Preambulum (3) bek., (8) bek., (16) bek. és (17) bek. 115 Egy uniós bűnügyi nyilvántartás létrehozásának gondolata először az 1998-as bécsi akciótervben merült fel. Majd a kölcsönös együttműködéssel kapcsolatban a 2000. évi Tamperei ülésen az Európai Tanács megerősítette, hogy a jövőben a bűnügyekben történő igazságügyi és rendőrségi együttműködés fejlesztése egyik kiemelt sarokpontja kell, hogy legyen a tagállamok közötti együttműködésnek. 116 VERMUELEN, Gert – VANDER BEKEN, Tom – DE BUSSER, Els – DORMAELS, Arne: Blueprint for an EU Criminal Records Database, Maklu, Antwerpen-Apeldoorn, 2002, 7. o., 19-20. o., 23. o., 27. o., 30. o. A magyar Alkotmánybíróság a korábbi bűnügyi nyilvántartás vezetésével kapcsolatos szabályokat megsemmisítette, mondván, az emberi méltóságot sérti az, ha a bűntettesek nyilvántartása a mentesült személy adatait differenciálatlanul a többi elítélt adataival együtt tartalmazza, merthogy az elkövetőnek a mentesülést követően joga a társadalomba való visszailleszkedés megfelelő körülményeinek biztosítása. Ha nem így lenne, indokolatlanul hosszú ideig érintené az elkövetőt a megkülönböztetés, a stigmatizáció. Más uniós országokban viszont a hosszú ideig tartó tárolás alkotmányosnak bizonyult. Így a bűnügyi adatokat Svédországban 15 évig tárolják, ha az elítéltet legalább egy évi szabadságvesztéssel sújtották. Németországban pedig 3, 5, 10, illetve 20 évig kezelik az információkat a mentesítéstől számítva a szankció fajtájától és mértékétől függően. Jóllehet az Emberi Jogok Európai Bírósága a Puig Panella c. Spanyolország-ügyben megállapította az Egyezmény sérelmét, mert az elítéléséről 13 évig kezeltek adatot. [144/2008. (XI. 26. AB határozat] A Bíróság az S. és Marper c. Egyesült Királyság-ügyben is megállapította, hogy a magánszféra sérelmét a differenciálatlan nyilvántartási szabályok okozzák. [S. and Marper v. the United Kingdom (Application nos. 30562/04 and 30566/04)] 114
63
biometrikus útlevél) is számos adatvédelmi kérdést vet fel.
117
A tagállamok által kiállított
útlevelek és úti okmányok biztonsági jellemzőire és biometrikus elemeire vonatkozó előírásokról szóló rendelet meghatározza, hogy a biometrikus jellemzők kizárólag az okmány valódiságának ellenőrzésére, valamint az okmány birtokosának személyazonosságának megállapítására használhatók fel a „közvetlenül hozzáférhető, összehasonlítható jellemzők segítségével, amennyiben az útlevelek és egyéb úti okmányok felmutatásáról törvény rendelkezik.” Amennyiben a rendelet ezen célt határozza meg, mennyiben lesz alkotmányosan használható az útlevél bűnmegelőzési és bűnüldözési célra? Hiszen a célhoz kötöttség garanciális korlátot jelent, amely az úti okmányok esetében azt jelenti, hogy csak azon igazolási célul szolgálhat, amely alapján az okmányon lévő adatot és az okmányt átadó tulajdonos adataival hasonlítja össze.
118
A vízumpolitika és a határellenőrzés során használt,
két fontos adatbázisról, a SIS II és a VIS rendszerről is meg kell emlékezni. Ezen adatbázisokat számos hatóság használja: a rendőrség, a vámhatóság és határőrség, közlekedési hatóság és más igazságügyi hatóság. Ezen adatbázisok vannak segítségül például azon személyek elfogásában, akikkel szemben európai elfogatóparancsot bocsátottak ki, vagy olyan dolgok kézre kerítésében, amelyek bűncselekmény elkövetési tárgyai.119 A Bíróság gyakorlata nem egységes a céltól eltérő adatkezelés kérdésének megítélésben. Az EU Bírósága ebben a kérdésben akként foglalt állást, hogy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása
keretében
előállított
vagy
feldolgozott
adatok
megőrzéséről
szóló
2006/24/EK irányelv a szolgáltató szektor tevékenységét érinti, és nem tartalmaz szabályt a hatóságok jogkövető magatartás kikényszerítése érdekében foganatosított tevékenységére nézve. [Írország v. EP és Tanács-ügy] Jóllehet ebben az ügyben is arról van szó, hogy az elektronikus kommunikációs szolgáltatók kötelesek bizonyos forgalmi adatokat 6 és 24 hónap közötti időtartamig tárolni súlyos bűncselekmény elleni harcban való lehetséges felhasználás céljából. Ezen irányelv lerontja az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv azon előírását, amely szerint az adatokat törölni kell, ha azok speciális kereskedelmi célokhoz már nem szükségesek. A szolgáltató adatgyűjtése abban különbözik a Bíróság szerint a PNRügyben megvizsgált adatkezeléstől, hogy az imént említett esetben az adatok nem HIELKE – ALFONSO: i. m. 1524. o. Az Európai Tanács 2252/2004/EK rendelete (2004. december 13.) a tagállamok által kiállított útlevelek és úti okmányok biztonsági jellemzőire és biometrikus elemeire vonatkozó előírásokról 4. cikk (3) bekezdés 119 FRA Annual Report 2010 - Fundamental rights: challenges and achievements in 2010, Imprimerie Centrale, Luxembourg, 2011, 51. o. http://fra.europa.eu/sites/default/files/fra_uploads/1633-annual-report-2011_EN.pdf letöltés ideje: 2012. 11. 20. 117 118
64
rendszeresen kerültek megküldésre a nyomozó szerveknek, hanem a szolgáltató birtokában maradtak mindaddig, amíg bizonyos – az irányelvben meghatározott – esetekben nem továbbították a hatóságok felé. Ez az irányelv csak a magánfelekre, és nem a nyomozó hatóságokra nézve állapít meg kötelezettséget – érvel a Bíróság. Ebből kifolyólag erre az adatkezelésre a 95/46/EK irányelvet kell alkalmazni, és nem a harmadik pillérben érvényesülő kerethatározatot, ellentétben a PNR-megállapodással.120 A rendőrségi együttműködés tárgyalása során le kell szögezni, hogy az együttműködésben nemcsak a rendőrség vehet részt, az együttműködés tartalma szerint kell azt megítélni: így más, a bűnüldözésben résztvevő hatóság is részese az államok közötti együttműködésnek.
3.3. A harmadik együttműködés
pillér
keretében
megvalósuló
rendőrségi
3.3.1. Az uniós szervek adatkezelése
3.3.1.1. Europol általi adatkezelés A rendőrségi együttműködés kiemelt szerepelője az Europol, amelyre azonban jelen tanulmány keretében nem térnék ki, mert az önálló tanulmányom tárgyát képezi.
3.3.1.2. Eurojust általi adatkezelés Az Eurojust már a bűnügyi együttműködés területére esik, azonban a rendőrségi együttműködés témakörét nem lehet anélkül feldolgozni, hogy legalább említés szintjén ne foglalkozzunk ezen uniós ügynökséggel. Az Eurojust feletti kontrol is nagyon hiányos, az nem esik a bírósági „felülvizsgálat” alá. A rendőrségi és bűnügyi együttműködés esetén a feladatok és együttműködési formák elhatárolása azért is nehéz, mert az egyes tagállamokban a rendőrségi, az ügyészi és igazságügyi alkalmazottak eltérő nyomozati és egyéb jogkörrel rendelkeznek, így azok megnevezésük alapján nem azonosítható, hanem sokkal inkább az ellátott feladat alapján kell azt megítélni, hogy rendőrségi vagy bűnügyi esetleg közigazgatási együttműködésről van-e szó.121
120 121
HIELKE – ALFONSO: i. m. 1504-1505. o. DOUGLAS-SCOTT: i. m., 238-239. o.
65
Az Europol és az Eurojust tekintetében nincs indoka azon megkülönböztetésnek, amely az egyes szervek keretében megvalósuló adatkezelések biztonságára vonatkozó szabályokat illeti.122
3.3.1.3. Végkövetkeztetések A terrorizmus elleni küzdelemben az egyes államoknak széles mérlegelési lehetőségük van annak a bűnmegelőzésnek és bűnüldözésnek milyen módját választják. Erre tekintettel a kiválasztott módszer megítélése csupán attól függhet, hogy nincsen-e olyan érték, amelynek figyelembe vétele nem megfelelően történt. Valamely intézkedést az eltérő érdekek és alapvető jogok komplex rendszerében kell megítélni. Eljárási garanciák lefektetése szükséges ahhoz, hogy az adatkezelés törvényes legyen. Ez jelenti a személyes adat felvételére, továbbításra stb. vonatkozó szabályok rögzítését.7 Elengedhetetlen annak a pontos meghatározása, hogy mely bűncselekmények elkövetésének megelőzése érdekében, illetve mely bűncselekmény alapos gyanúja esetén lehet személyes adatokat kezelni, és azt milyen körben. Hiszen ehhez fűződnek aztán az egyéb hátrányos jogkövetkezmények, mint például a beutazási tilalom.123
3.3.2. Harmadik féllel megvalósuló együttműködés
3.3.2.1. Az Unió által kötött megállapodások Az EU-USA között született kölcsönös eljárási jogsegélyről szóló 2003. évi megállapodás volt az első uniós megállapodás, amelyet az Unió képviseletében eljáró uniós államok kötöttek harmadik állammal személyes adatok továbbítására.
3.3.2.2. Uniós szerv által kötött megállapodások A 2002. évi Europol-USA megállapodás tekinthető az első olyan megállapodásnak, melyet uniós szerv kötött harmadik állammal. Ezt a megállapodást azonban több másik követte, és annak rendelkezéseit alapul vette, így például a 2006. évi Eurojust-USA megállapodás. Egyik megállapodás sem tartalmaz utalást arra, hogy az USA a személyes adatok megfelelő védelmét biztosítja-e. Az Eurojusttal fennálló megállapodás azt is rögzíti, O’ NEILL, Maria: The Issue of data Protection and data Security inthe (Pre-Lisbon) EU Third Pillar, In: Journal of Contemporary European Research. Vol. 6., Issue 2., 231. o. 123 FRENZ, Walter: Europäischer Datenschutz und Terrorabwehr, In: Europäische Zeitschrift für Wirtschaftsrecht, 20. Jahrgang, 1. 2009. 01. 05., 8. o. 122
66
hogy bármilyen egyéb célból is továbbítható személyes adat az Egyesült Államok felé, ami a célhoz kötöttség elvének teljes elutasítását jelenti.124
3.3.3. Az uniós tagállamok adatkezelése A tagállamok részéről az utóbbi időben igény merült fel az iránt, hogy az azonos hatáskörű hatóságok egymás adatbázisaihoz egyenlő feltételekkel hozzáférhessenek, amely komoly kihívást jelent az Unió számára, nemcsak az általános adatvédelmi szabályok lefektetése folytán, hanem az eltérő tagállami rendelkezések miatt is.125
3.3.3.1. Az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) Az Európai Bűnügyi Nyilvántartási Információs Rendszert is a tagállamok közti hatékony információcsere érdekében alakították ki. Az ECRIS lényegében egy titkosított kommunikációs csatornát jelent. A nyilvántartási rendszer kialakításának legfőbb célja az volt, hogy a büntető igazságszolgáltatási rendszerért felelős szerveknek a bírósági eljárás alatt álló személyek előéletéről történő hatékony tájékoztatása útján az egyedi helyzetre szabott döntéshozatalt megkönnyítse. Így példának kedvéért elkerülhetővé válik, hogy az a személy, akit gyermeken elkövetett nemi bűncselekményért ítéltek el – feltéve, hogy ezt a tagállami bűnügyi nyilvántartás tartalmazza – eltitkolja ezt az ítéletet, illetve az eltiltást. Hiszen korábban előfordulhatott az az esetet, hogy az ilyen elkövető – a hiányos információáramlás miatt – más tagállamban gyermekfelügyelettel kapcsolatos tevékenységet folytathatott. Az EU Szerződés 29. cikkének érvényesüléséhez elengedhetetlennek vélték az egységes értelmezésen alapuló bűnügyi nyilvántartási rendszer kialakítását. A Szerződés kimondja, „az Unió célja, hogy biztosítsa a polgárok magas szintű biztonságát egy olyan térségben, amely a szabadságon, a biztonságon és a jog érvényesülésén alapul.” A bűnügyi nyilvántartás továbbá illeszkedik az elektronikus igazságszolgáltatás kialakításának tendenciájába is. Az egységes szabályozás azért indokolt, hogy az ítéletekre vonatkozó információk továbbítása, illetve fordítása ne ütközzön szükségtelen akadályokba. Azt viszont a félreértés elkerülése végett kiemelném, hogy a szabályozás nem a nemzeti bűnügyi nyilvántartás egységesítésére törekszik. A bűnügyi nyilvántartások adatait továbbra 124
DE BUSSER: i. m., 99. o. FUSTER, Gloria Gonzalez – PAEPE, Pieter: Reflexive Govarnance and the EU Third Pillar: Analysis of Data Protection and Criminal Law Aspects, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008 125
67
is a tagállamok kezelik, és a tanácsi határozat nem enged közvetlen hozzáférést sem más állam bűnügyi nyilvántartásához. A határozat az átláthatóság érdekében előírja az államok számára, hogy a bűncselekmények, illetve szankciók kategóriáit ún. referenciatáblázatba sorolják be. Az azokhoz fűzött magyarázat, segíti a tagállami szabályozás megértését, és nem cél az egyenértékűség biztosítása. 126 A Tanács határozata alapján a tagállam köteles a területén hozott valamennyi ítélet esetén az elítélt állampolgárságára vonatkozó adatokat felvenni, majd a nyilvántartásba vett büntetőítéletről a lehető legkorábban tájékoztatni a többi állam központi hatóságait. Ítélettel kapcsolatos megkeresés esetén a tagállam központi hatósága jogosult arra, hogy egy másik tagállam központi hatóságát megkeresse bűnügyi nyilvántartásból származó információk és kapcsolódó adatok kiadása céljából. A megkeresés valamely személytől is érkezhet, aki a megkereső vagy megkeresett tagállamban lakóhellyel rendelkezik vagy rendelkezett, vagy ezen országok állampolgára vagy állampolgára volt. Ezt a megkeresést is azonban a központi hatóság továbbítja a másik tagállam központi hatósága felé. A megkeresést a megkeresett tagállam központi hatósága a nemzeti jogban, vagy gyakorlatban meghatározott időben, de legkésőbb a kérelem kézhezvételétől számított tíz munkanapon belül köteles teljesíteni. A válaszadási határidő – ha az valamely személytől érkezik – a kérelem kézhezvételének időpontjától számított húsz munkanap.127 Az ECRIS lényegében egy decentralizált információtechnológiai rendszer, amely a tagállami bűnügyi nyilvántartási rendszereken alapul. Az információcsere hatékonysága érdekében egységes formátumot alakítottak ki az adattovábbításra, amely az ítélet alapjául szolgáló bűncselekményre, illetve az ítéletek tartalmára vonatkozóan tartalmazhat információt.
A 2009/315/IB kerethatározat 11. cikke alkalmazásában az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) létrehozásáról szóló a Tanács 2009/316/IB határozata (2009. április 6.) preambulum, 1. cikk 127 A bűnügyi nyilvántartásból származó információk tagállamok közötti cseréjének megszervezéséről és azok tartalmáról szóló a Tanács 2009/315/IB kerethatározata (2009. február 26.) 4. cikk (1)-(2) bek., 6. cikk (1)(2) bek., 8. cikk 126
68
Az információcsere esetében tartalmaznia kell
128
a dokumentumnak a bűncselekmény
megnevezésével – ideértve a határozat mellékletében az egyes bűncselekményekhez rendelt kódot – és jogi minősítésével, valamint az alkalmazandó jogi rendelkezéssel kapcsolatos információkat. Ha a bűncselekmény egyetlen alkategóriába sem sorolható be, akkor a „megfelelő vagy legközelebbi bűncselekmény-kategória „nyitott kategória” kódját, vagy annak hiányában az „egyéb bűncselekmények” kódját kell feltüntetni.” A bűnügyi nyilvántartásból származó információk tagállamok közötti cseréjének megszervezéséről és azok tartalmáról szóló a Tanács 2009/315/IB kerethatározata (2009. február 26.) 11. cikk (1) bek. (…) az ítélethozatal szerinti tagállam központi hatósága a következő információkat továbbítja: a) azon információk, amelyeket mindig továbbítani kell, kivéve, ha – egyedi esetekben – ezek az információk a központi hatóság előtt nem ismertek (kötelező információk): i. az elítélt személyre vonatkozó információk (teljes név, születési id5, születési hely (település és állam), nem, állampolgárság és - adott esetben – előző név/nevek); ii. az ítélet jellegére vonatkozó információk (az ítélet dátuma, a bíróság megnevezése, a határozat jogerőre emelkedésének időpontja); iii. az ítélet alapjául szolgáló bűncselekményre vonatkozó információk (az ítélet alapjául szolgáló bűncselekmény elkövetésének id5pontja, a bűncselekmény megnevezése vagy jogi min5sítése, valamint az alkalmazandó jogi rendelkezésekre történ5 hivatkozás); valamint iv. az ítélet tartalmára vonatkozó információk, így az ítéletet, valamint a kiegészítő büntetéseket, biztonsági intézkedéseket és a büntetés-végrehajtást módosító későbbi határozatokat is. b) azon információk, amelyeket a bűnügyi nyilvántartásban való bejegyzéskor kell továbbítani (nem kötelező információk): i. az elítélt személy szüleinek neve; ii. az ítélet ügyiratszámára vonatkozó információ; iii. a bűncselekmény elkövetési helyére vonatkozó információ; és iv. az ítéletb5l fakadó eltiltásokra vonatkozó információ. c) azon információk, amelyeket rendelkezésre állás esetén kell továbbítani a központi hatóságnak (kiegészít5 információk): i. az elítélt személy személyazonosító száma, vagy a személyt azonosító dokumentum típusa és száma; ii. ujjlenyomat, amelyet az adott személyt5l vettek; és iii. adott esetben álnév és/vagy felvett név/nevek. A központi hatóság a bűnügyi nyilvántartásba felvett egyéb információkat is továbbíthat az ítéletekkel kapcsolatban.” A bűnügyi nyilvántartási rendszerről, az Európai Unió tagállamainak bíróságai által magyar állampolgárokkal szemben hozott ítéletek nyilvántartásáról, valamint a bűnügyi és rendészeti biometrikus adatok nyilvántartásáról szóló 2009. évi XLVII. törvény 78. § (1) A bűnügyi nyilvántartó szerv késedelem nélkül tájékoztatja az Európai Unió más tagállama központi hatóságát a bűntettesek nyilvántartásába, valamint - a 15. § a) és f) pontja szerinti adatok kivételével - a hátrányos jogkövetkezmények alatt álló, büntetlen előéletű személyek nyilvántartásába felvett, az érintett tagállam állampolgáraira vonatkozó bűnösséget megállapító jogerős ítéletben szereplő alábbi adatokról és azok későbbi változásáról vagy módosulásáról: a) az elítélt személyazonosító adatai, b) az ítélet kelte, jogerőre emelkedésének időpontja, az ítéletet hozó bíróság megnevezése, c) az ítélet alapjául szolgáló bűncselekmény elkövetésének helye, időpontja, a bűncselekmény megnevezése vagy jogi minősítése, valamint azokra a rendelkezésekre való hivatkozás, amelyeken a bűncselekmény elbírálása alapult, d) a büntetésekre, az intézkedésekre és azok végrehajtására vonatkozó adatok. (2) Az átvevő tagállamot tájékoztatni kell a) az adatok átadásával egyidejűleg az adatok törlésének várható időpontjáról, továbbá b) arról, ha az adatok a bűntettesek nyilvántartásából vagy - a 15. § a) és f) pontja szerinti adatok kivételével - a hátrányos jogkövetkezmények alatt álló, büntetlen előéletű személyek nyilvántartásából törlésre kerültek. 128
69
Az információcsere mindezeken túl kiterjedhet a cselekmény megvalósulási szakaszára, az elkövetői minőségre, a büntetőjogi felelősséget kizáró vagy korlátozó okokra vagy a visszaesést illetően rendelkezésre álló információkra. A dokumentumnak a szankciókra vonatkozóan is kell tartalmaznia információt. Így valamennyi büntetés és intézkedés mellékletben meghatározott alkategóriájának a kódját. Ha a szankció nem sorolható be egyetlen alkategóriába sem, akkor a megfelelő vagy a legközelebbi büntetés-, illetve intézkedéskategória „nyitott kategória” kódját, vagy annak hiányában az „egyéb szankciók és intézkedések” kódját kell feltüntetni. Az adattovábbítás vonatkozhat továbbá még a szankció jellegére, végrehajtásának feltételeire is. A Tanács határozata a bűncselekményekre, szankciókra és intézkedésekre vonatkozó információtovábbítást egy nem kötelező erejű, gyakorlati kézikönyv összeállítása céljából támogatja. Ez a kézikönyv az elkövetők azonosításának módjaival, valamint a bűncselekményeknek és a szankcióknak, valamint az intézkedéseknek a mellékletekben felsorolt kategóriái egységes értelmezésének rögzítésével foglalkozik. Így a tagállamok a Tanács Főtitkárságának juttatják el a) a nemzeti jogrendszerek szerinti, de az egyes kategóriákba már besorolt bűncselekmények megnevezését (jogi minősítését), jogszabályi hivatkozását. Tartalmazhatja a bűncselekményi tényállás rövid leírását is. b) a büntetések, a mellékbüntetések, a biztonsági intézkedések és a büntetés végrehajtását módosító lehetséges későbbi határozatok nemzeti jog által meghatározott típusainak listáját a mellékletben említett minden egyes kategóriában. Tartalmazhatja az egyes szankciók rövid leírását is. . Az adatvédelem alapvető elveinek a bűnügyi nyilvántartási információs rendszer alkalmazása esetén is érvényesülnie kell. Az 1981-es adatvédelmi egyezmény természetesen háttérjogszabályként alkalmazandó, ugyanakkor ez a határozat is lefektet néhány adatvédelmi követelményt. A célhoz kötöttségnek az ECRIS esetében is érvényesülnie kell: „a büntetőeljárás céljaira közölt személyes adatokat a megkereső tagállam kizárólag azon büntetőeljárás céljára használhatja fel, amelyikkel kapcsolatban azokat a mellékletben foglalt formanyomtatványon feltüntetve kérelmezték.” Alkotmányossági szempontból vitatható módon ez alól a követelmény alól a kerethatározat kivételt enged, mégpedig a közbiztonságot fenyegető közvetlen és súlyos veszély megelőzése esetére. Alkotmányossági szempontból aggasztó, 70
hogy a bűnügyi nyilvántartásban szereplő adatok a büntetőeljárástól eltérő célokra történő felhasználása nem tiltott, hanem tagállami szinten korlátozható. 129
3.3.3.2. SIS A SIS II rendszer az amerikai VISIT-programmal együtt több millió olyan ember adatait rögzíti és figyeli meg, akik az EU területére nem léphetnek be vagy egyébként „gyanús” személyek.130 A Schengeni rendszer keretében megvalósuló adatkezelés felett az európai adatvédelmi biztos gyakorol felügyeletet. Az európai ombudsman tipikusan a közösségi jog keretében megvalósuló adatkezelési műveletek felett őrködik, ugyanakkor világos az is, hogy a SIS és a VIS rendszer nagyon szorosan kötődik a bűnmegelőzéshez és a bűnüldözéshez. Kérdés, hogy az európai biztos hatékony jogvédelmet tud-e biztosítani ebben a tekintetében? ha igen, akkor az Europol és az Eurojust által megvalósított adatkezelések tekintetében miért kellett adatvédelmi tisztviselő pozíciót alapítani? A 2008/977/IB kerethatározatban le lehetett volna fektetni a kontrollrendszer alapjait, ezzel elkerülve a fragmentált és sokszor követhetetlen szabályozást.131
4. Konklúzió Az adatok egyre szélesebb körű kezelése, illetve a létező adatállományokhoz való mind szélesebb hozzáférés és felhasználás nemcsak a személyes adatokhoz fűződő jogot és a magánszférához való jogot érinti, hanem más alapvető jogokat és szabadságokat is. A személyes adatok kezelése sértheti az ártatlanság vélelmét, az emberi méltósághoz való jogot a stigmatizáción keresztül és a diszkrimináció tilalmát is. Az EJEB az S. and Marper-ügyben megállapította, hogy ártatlan személy adatainak tárolása bűnmegelőzési azonosítási célból nem elfogadható. Az elítélt személyekkel azonos kezelési mód nem igazolható.
A 2009/315/IB kerethatározat 11. cikke alkalmazásában az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) létrehozásáról szóló a Tanács 2009/316/IB határozata (2009. április 6.) 3. cikk (4), 4- 5. cikk, 6. cikk (2) bek. a) pont, 9. cikk (1) és (3) bek. 130 WIEDEMANN, Ursula: Biometrie – Stand und Chancen der Vermessung des Menschen, Frank&Timme, Berlin, 2012, 146. o. 131 O’ NEILL, Maria: The Issue of data Protection and data Security inthe (Pre-Lisbon) EU Third Pillar, In: Journal of Contemporary European Research. Vol. 6., Issue 2., 226. o. 129
71
A Strasbourgi Bíróság mellett a luxemburgi EU Bíróság a Huber-ügyben megállapította, hogy az uniós és a nem uniós polgárok adatainak bűnüldözési célú, eltérő adatkezelése „nem kívánt árnyékot vet” a nem uniós állampolgárokra. Mindebből tehát az következik, hogy a személyes adatok kezelése során azért is kell körültekintően eljárni, mert az számos alapvető jogot és szabadságot érint. A személyes adatok kezelése tekintetében a harmadik államok polgárai különösen ki vannak téve a helytelen és jogszerűtlen gyakorlatnak és intézkedéseknek. Jóllehet az emberi jogi deklarációk a személyes adatok védelméhez való jogot mindenki számára, azaz harmadik államok polgára számára is ugyanúgy biztosítják. Ennek a bűnmegelőzés és bűnüldözés során is érvényesülnie kell. A személyes adatok kezelése során nem lehet eltekinteni az adatkezelés szükségességének igazolásától. Erre jó példa a 2006/24/EK irányelv: az irányelv rögzíti, hogy a telekommunikációs cégeknek 6 hónap és 2 év közötti időtartamig tárolniuk kell, de azt nem fekteti le, hogy azokat milyen célból lehet használni, ez a tagállamokra marad. Az adatkezelés szükségességének igazolatlanságát támasztja alá az is, hogy számos uniós dokumentumban az adatkezelés céljaként a „súlyos” bűncselekmények üldözése és megelőzése szerepel. A súlyos bűncselekmény fogalmát azonban az uniós jog nem határozza meg, így az tagállamonként eltérhet. A profilkészítés az adatkezelés kivételes és kifejezetten igazolt módszere lehet. A bűnmegelőzési célból történő adatkezelés esetében az adatkezelés célja szűken értelmezendő. Az EJEB esetjogából nem derül ki, hogy mely adatokat milyen feltételekkel lehet bűnmegelőzési célból tárolni. Az adatkezelés kapcsán fontos arra is utalni, hogy a nyilvános forrásból származó személyes adatok (open source data) nem feltétlenül nyilvános adatok. Ezen adatok alatt olyan személyes adatok értendők, amelyek – például az internet útján – szabadon hozzáférhetőek anélkül, hogy valamely személy vagy szervezet a hozzájárulása hiányában azt megakadályozhatná. Az EJEB gyakorlatából is arra következtetésre juthatunk, hogy a
72
magánszférához való jog nem kizárólag a magánéletben illeti meg az egyént, hanem minden olyan helyzetben, amelyben az egyénnek „elvárása van a magánéletre.” Az Európai Unió adatkezeléseinek jogi hátterét, garanciáit átfogó szabályozással meg kell teremteni. Azt is feltétlenül rögzíteni kell, hogy a személyes adatok kezelésének törvényi jogalapját pontosan meg kell teremteni. Tehát nem elég azt rögzíteni, hogy a személyes adatok kezelésének törvényen kell alapulni, mert ez önmagában nem garantálja a személyes adatok védelméhez fűződő jogot. A törvényi szabályoknak olyanoknak kell lenniük, melyek az adatkezelés garanciát pontosan lefektetik, és annak megsértőit szankcionálják. Úgyszintén elégtelen annak rögzítése, hogy személyes adat csak akkor kezelhető, ha az feltétlenül szükséges és az adatkezelés által elérni kívánt céllal arányban áll. Ennek érvényesülnie is kell. Fontos, hogy a szükségesség-arányosság megítélésénél ne csak a személyes adatok számát vegyük figyelembe, hanem hogy azok valójában milyen információt hordoznak. A differenciálás nemcsak a személyes és a különleges adatok vonatkozásában szükséges, hanem a biometrikus adatok és az olyan adatok között is, amelyek több tulajdonságot is „elárulnak” az érintett személyről. Végezetül meg kell jegyezni, hogy a szabadság és biztonság kettősét nem úgy kell megközelíteni, mint egymás ellen dolgozó két erő, hanem olyan értékek, amelyek egymás mellett tudnak létezni. A szabadság és biztonság „harcában nem lehet zéró összegű a játszma, hanem mindkét értéknek „win-win” pozícióban kell lennie.132 Az embernek jogos elvárása van tehát a biztonságra, amelyet az államnak kell intézményei és nemzetközi kapcsolatai útján garantálnia. A biztonság iránti igény legalább ugyanolyan fontos, mint a privátszféra és ezzel összefüggésben az emberi méltóság védelme.
Ahogy Lafayatte Ron Hubbard133
megfogalmazta: „A játszma szabadságokból, korlátokból és célokból áll.”
FUSTER, Gloria González – DE HERT, Paul – GUTWIRTH, Serge: Privacy and data protection int he EU Security Continuum, In: Justice and Home Affairs, IN:EXPolicy Brief, 14 June 2011, 2-6., 8-9. o. http://works.bepress.com/cgi/viewcontent.cgi?article=1079&context=serge_gutwirth letöltés ideje: 2013. 02. 17 133 Lafayette Ron Hubbard (1911-1986) amerikai írónak a „Szcientológia Egyház” megalapítójának a Szcientológia: a gondolkodás alapjai c. könyvéből való az idézet. 132
73
Felhasznált irodalom BARENTS, René: The Court of Justice after the Treaty of Lisbon, In: Common Market Law Review, Vol. 47. 2010, 709-728. o. BELLANOVA, Rocco: The „Prüm Process”: The Way Forward for EU Police Cooperation and Data Exchange, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 203-2221. o. COUDRAY, Ludovic: Case Law, In: Common Market Law Review, vol. 41., 2004, 13611376. o. DE BUSSER, Els: EU data protection in transatlantic cooperítion in criminal matters. Will the EU be serving its citizens an American meal? In: Utrecht Law Review, Vol. 6., Issue 1., (january) 2010, 86-100. o. DOUGHAN, Michael: The Treaty of Lisbon 2007: winning minds, not hearts, In: Common Market Law Review, v. 45, n. 3, 2008, 617-703. o. DOUGLAS-SCOTT, Sionaidh: The rule of law in the European Union – putting the security into the „area odf freedom, security and justice”, In: European Law Review, Vol. 29. No. 2., 2004. April, 219-242. o. FRA Annual Report 2010 - Fundamental rights: challenges and achievements in 2010, Imprimerie
Centrale,
Luxembourg,
2011
http://fra.europa.eu/sites/default/files/fra_uploads/1633-annual-report-2011_EN.pdf letöltés ideje: 2012. 11. 20. FRENZ, Walter: Europäischer Datenschutz und Terrorabwehr, In: Europäische Zeitschrift für Wirtschaftsrecht, 20. Jahrgang, 1. 2009. 01. 05., 6-8. o. FUSTER, Gloria González – DE HERT, Paul – GUTWIRTH, Serge: Privacy and data protection in the EU Security Continuum, In: Justice and Home Affairs, IN:EX Policy Brief,
14
June
2011
http://works.bepress.com/cgi/viewcontent.cgi?article=1079&context=serge_gutwirth letöltés ideje: 2013. 02. 17. FUSTER, Gloria Gonzalez – PAEPE, Pieter: Reflexive Govarnance and the EU Third Pillar: Analysis of Data Protection and Criminal Law Aspects, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation int he European Union, Ashgate, 2008, 127-150. o. GENZ, Alexander: Datenschutz in Europe und den USA. Eine rechtsvergleichende Untersuchung
unter
besonderer
Berücksichtigung
der
Safe-Harbour-Lösung,
Deutscher Universitäts-Verlag, Wiesbaden, 2004 74
HAILBRONNER, Kay – PAPAKONSTANTIONOU, Vagelis – KAU, Marcel: The Agreement on Passenger-Data Transfer (PNR) and the EU_US Cooperation in Data Communication, In: International Migration Vol. 46. Issue 2. 2008, 187-197. o. HIELKE, Hijmans – ALFONSO, Scirocco: Shortcomings in EU data protection in the third and the second pillars. Can the Lisbon Treaty be expected to help? In: Common Market Law Review, v. 46, n. 5, October, 2009, 1485-1525. o. IGAZ Tünde: A schengeni felkészültségünk és adatvédelmi vonatkozásai, In: Laukó Károly: Bűnüldözés, adatvédelem, Schengen, BM Kiadó, Budapest, 2004, 59-80. o. KRANENBORG, Herke: Access to documents and data protection in the European Union: on the public nature of personal data, In: Common Market Law Review 45., 2008, 10791114. o. LANG, Peter: Third Pillar Developments form a Practitioner’s Perspective, In: GUILD, Elspeth – GEYER, Florian: Security versus justice? Police and Judicial Cooperation in the European Union, Ashgate, 2008, 265-278. o. LEYRER, Richárd: A nemzetközi rendőri együttműködés aktuális kérdései, In: Jogelméleti Szemle 2009/4. szám MICHAEL, Peter: Az EU Tanács Adatvédelmi Titkársága képviselőjének előadása In: Laukó Károly: Bűnüldözés, adatvédelem, Schengen, BM Kiadó, Budapest, 2004, 33-37. o. M. NYITRAI Péter: A nemzetközi bűnügyi együttműködés területeinek összefonódása Európában: nemzetközi rendőri együttműködés és nemzetközi bűnügyi jogsegély, In: Belügyi Szemle, 2004/5. szám, 104-116. o. NINO, Michele: The protection of personal data in the fight against terrorism. New perspectives of PNR European Union instruments in the light of the Treaty of Lisbon, In: Utrecht Law Review, Vol. 6., Issue 1 2010, 62-85. o. O’ NEILL, Maria: The Issue of data Protection and data Security inthe (Pre-Lisbon) EU Third Pillar, In: Journal of Contemporary European Research. Vol. 6., Issue 2., 211-235. o. OROS Paulina – SZURDAY Kinga: Adatvédelem az Európai Unióban, In: Forgács Imre (főszerk.): Európai Füzetek 35. SANTOLLI, Justin: The Terrorist Finance Tracking Program: illuminating the shortcomings of the European Union’s antiquated data privacy directive, In: The George Washington International Law Review, Vol. 40. No. 2. 2008, 553-582. o. COMANS, Clemens David: Ein „modernes” europäisches Datenschutzrecht, Peter Lang, Köln, 2011
75
SCHRADER, Christian: Passenger name record: undermining the democratic right of citizens?, In: Social Alternatives Vol. 25. No. 3. 2006, 44-49. o. SIEMEN, Birte: The EU_US Agreement on Passenger Name Records and EC-Law: Data Protection, Competences and Human Rights Issues in International Agreements of the Community, In: German Yearbook of International Law, Vol. 47. Dunckler & Humblot, Berlin, 2004, 629-665. o. SZABÓ Máté Dániel: Biometrikus azonosítás és adatvédelem, In: Acta Humana XV. évfolyam 2004/1. szám, 81-92. oldal VAN ELSUWEGE, Peter: EU external action after the collapse of the pillar structure: in search of a new balance between delimitation and consistency, In: Common Market Law Review, v. 47, n. 4, 2010, 987-1019. o. VANWAASSHNOVA, Matthew R.: Data Protection Conflicts Between the United States and the European Union in the War on Terror: Lessons Learned from the Existing System of Financial Information Exchange, In: Case Western Reserve Journal of International Law, 2007/2008, Vol. 39. Issue 3, 827-865. o. VERMUELEN, Gert – VANDER BEKEN, Tom – DE BUSSER, Els – DORMAELS, Arne: Blueprint for an EU Criminal Records Database, Maklu, Antwerpen-Apeldoorn, 2002 WIEDEMANN, Ursula: Biometrie – Stand und Chancen der Vermessung des Menschen, Frank&Timme, Berlin, 2012
Internetes források Török
Csaba
projektje
(Letöltés
forrása,
ideje:
http://www.szgti.bmf.hu/~mtoth/download/Hallgatoi%20projektek/T%F6r%F6k%20C saba%20-%20Biometria.pdf 2009. 12. 20.) 20-21. o.
Jogforrások A
bűnügyi
nyilvántartásból
származó
információk
tagállamok
közötti
cseréjének
megszervezéséről és azok tartalmáról szóló a Tanács 2009/315/IB kerethatározata (2009. február 26.) Alapjogi Charta A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről 76
A Tanács 2009/315/IB kerethatározat 11. cikke alkalmazásában az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) létrehozásáról szóló a Tanács 2009/316/IB határozata (2009. április 6.) A Tanács 2001/931/KKBP közös álláspont a terrorizmus leküzdésére vonatkozó különös intézkedések alkalmazásáról A Tanács 2001/930/KKBP közös álláspont a terrorizmus leküzdéséről A bűnügyi nyilvántartási rendszerről, az Európai Unió tagállamainak bíróságai által magyar állampolgárokkal szemben hozott ítéletek nyilvántartásáról, valamint a bűnügyi és rendészeti biometrikus adatok nyilvántartásáról szóló 2009. évi XLVII. törvény Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995. 11. 23., 31-50. o.) C(80)58/FINAL Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data Case of Amann v. Switzerland (Application no. 27798/95) Case of Gillow v. the United Kingdom (Application no. 9063/80) Case of Hatton and others v. the United Kingdom (Application no. 36022/97) Case of Klass and others v. Germany (Application no. 5029/71) Case of Kopp v. Switzerland (Application no. 13/1997/797/1000) Case of Kruslin v. France (Application no. 11801/85) Case of Leander v. Sweden (Application no. 9248/81) Case of Malone v. the United Kingdom (Application no. 8691/79) Case of Niemietz v. Germany (Application no. 13710/88) Case of Norris v. Ireland (Application no. 10581/83) Case of Österreichischer Rundfunk v. Austria (Application no. 35841/02) Case of P. G. and J. H. v. the United Kingdom (Application no. 44787/98) Case of Rotaru v. Romania (Application no. 28341/95) Case of S. and Marper v. the United Kingdom (Application nos. 30562/04 and 30566/04) Case of Silver and others v. the United Kingdom (Application no. 5947/72; 6205/73; 7052/75; 7061/75; 7107/75; 7113/75; 7136/75) Case of the Sunday Times v. United Kingdom (Application no. 6538/74) Egyezmény az egyének védelméről a személyes adatok gépi feldolgozása során (kihirdette: 1998. évi VI. törvény) Emberi Jogok Egyetemes Nyilatkozata 77
Európai Unió működéséről szóló szerződés Európai Unióról szóló szerződés Hoechst v. Commission (HL C 266.,1989. 10. 18., 7. o.) Munkaanyag
a
biometrikus
azonosítókról
(WP
80)
(Letöltés
forrása,
ideje:
http://abiweb.obh.hu/abi/index.php?menu=209 2009. 11. 10) Polgári és Politikai Jogok Nemzetközi Egyezségokmánya 1993. évi XXXI. törvény az emberi jogok és az alapvető szabadságok védelméről szóló, Rómában, 1950. november 4-én kelt Egyezmény és az ahhoz tartozó nyolc kiegészítő jegyzőkönyv kihirdetéséről 144/2008. (XI. 26. AB határozat 21. Nyilatkozat a személyes adatok védelméről a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén 30. jegyzőkönyv az Európai Unió Alapjogi Chartájának Lengyelországra és az Egyesült Királyságra történő alkalmazásáról
78
